Interview mit Julian Totzek-Hallhuber von Veracode auf der IT-SA 2024

Bildschirmfoto 2024-11-07 um 11.59.29

Veracode ist ein führender Anbieter von Lösungen für Anwendungssicherheit, der Unternehmen dabei unterstützt, sichere Software zu entwickeln und das Risiko von Sicherheitsverletzungen zu minimieren. Das Unternehmen bietet eine umfassende Plattform für das Management von Anwendungsrisiken, die verschiedene Sicherheitsprüfungen und -dienste integriert.

Produkte und Dienstleistungen von Veracode:

  • Veracode Application Security Platform: Eine zentrale Lösung zur Verwaltung des gesamten Programms für Anwendungssicherheit, einschließlich Administration, Sicherheitstests und Analyseergebnissen.
  • Static Analysis (SAST): Analyse des Quellcodes, um Sicherheitslücken frühzeitig im Entwicklungsprozess zu identifizieren.
  • Software Composition Analysis (SCA): Erstellung eines Inventars von Drittanbieter-Komponenten, einschließlich Open-Source- und kommerziellem Code, zur Identifizierung von Schwachstellen.
  • Dynamic Analysis (DAST): Scannen von Live-Webanwendungen und REST-APIs, um Sicherheitslücken in laufenden Anwendungen zu erkennen.
  • Penetration Testing: Kombination manueller Penetrationstests mit automatisierten Scans, um das gesamte Softwareentwicklungs-Lifecycle von Code bis zur Cloud abzusichern.
  • Veracode Fix: Anwendung von KI-generierten Code-Patches direkt auf Schwachstellen im Anwendungscode, ohne dass Entwickler eigenen Code schreiben müssen.
  • Integrationen: Veracode bietet zahlreiche Integrationen für die Einbindung von Sicherheitstests in bestehende Entwicklungswerkzeuge wie IDEs, Build-Systeme und Ticketing-Systeme.
  • Verwaltung der Anwendungssicherheit (Application Security Posture Management, ASPM): Veracode Risk Manager bietet eine einheitliche Sicht auf das Risiko vom Code bis zur Cloud. Das bedeutet, dass AppSec-, Infrastruktur- und Entwicklungsteams das Risiko bis zu seiner Quelle zurückverfolgen und die Behebung der Probleme mit den größten Auswirkungen einfach priorisieren können.

Veracode legt großen Wert auf die Unterstützung von Entwicklern und Sicherheitsteams bei der Erstellung sicherer Software. Das Unternehmen bietet Schulungen und Ressourcen an, um die Fähigkeiten von Entwicklern im Bereich der Anwendungssicherheit zu stärken.

Im Jahr 2024 wurde Veracode zum zehnten Mal in Folge als Leader im Gartner Magic Quadrant für Anwendungssicherheitsprüfung anerkannt, was die kontinuierliche Exzellenz und das Vertrauen der Kunden in die Lösungen des Unternehmens unterstreicht.

Durch die Übernahme von Longbow Security im April 2024 hat Veracode seine Fähigkeiten im Bereich der Sicherheit für Cloud-native Anwendungen weiter ausgebaut und bietet nun umfassende Lösungen für das Management von Anwendungsrisiken von Code bis zur Cloud an.

Wir fragen Julian, der noch den Titel Manager Solution Architects bei Veracode trägt und bald in einer dem Kunden näheren neuen Funktion agieren wird, zu den Themen Innovationsfokus, Zukunftsvision, Integration von KI, Kundenbedürfnisse, Wettbewerbsumfeld, Strategie, Compliance, Benutzerfreundlichkeit, Zukunftstechnologien und Partnerschaften.

“Den größten Einfluss der Produkte auf die Cybersecurity hatte die AI, die Veracode schon im Einsatz hat. Sie sorgt für die Fixes von Threads.  Weiterhin hatten Containerization (auch in Clouds), Infrastructure as Code-Scanning, API-Scanning, sowie Container Scanning den meisten Einfluss auf die Cybersecurity”, so Julian.

Veracode bietet Funktionen, die speziell auf die wachsenden Bedrohungen durch Supply-Chain-Angriffe abzielen.

  • Software Composition Analysis (SCA): Diese Funktion ermöglicht es Unternehmen, die in ihren Anwendungen verwendeten Open-Source- und Drittanbieter-Komponenten zu identifizieren und zu überwachen. Dadurch können Schwachstellen in der Software-Lieferkette aufgedeckt und behoben werden, bevor sie ausgenutzt werden können.
  • End-to-End-Sichtbarkeit: Veracode bietet eine umfassende Sicht auf den gesamten Softwareentwicklungsprozess, einschließlich aller Phasen der Lieferkette. Dies ermöglicht es Unternehmen, potenzielle Schwachstellen frühzeitig zu erkennen und zu adressieren.

Weiterhin unterstützt Veracode Unternehmen dabei, Sicherheit nahtlos in den DevOps-Prozess zu integrieren, indem es eine Reihe von Tools und Integrationen bereitstellt, die Entwicklern ermöglichen, Sicherheitsprüfungen frühzeitig und kontinuierlich durchzuführen.

Integration in CI/CD-Pipelines: Veracode bietet Plugins und Erweiterungen für gängige Continuous Integration/Continuous Deployment (CI/CD)-Systeme wie Jenkins, Azure DevOps,GitHub, GitLab und CircleCI an. Diese Integrationen ermöglichen es, Sicherheitsanalysen automatisch während des Build- und Release-Prozesses durchzuführen, sodass Schwachstellen frühzeitig erkannt und behoben werden können.

Veracode Azure DevOps Extension: Für Teams, die Azure DevOps nutzen, stellt Veracode eine spezielle Erweiterung bereit. Diese ermöglicht die Integration von Veracode Static Analysis und Software Composition Analysis direkt in Azure DevOps-Pipelines, wodurch Sicherheitsprüfungen automatisiert und Ergebnisse innerhalb der Entwicklerumgebung verfügbar gemacht werden.

APIs und Automatisierung: Veracode stellt umfangreiche APIs zur Verfügung, die es ermöglichen, Sicherheitsprüfungen in individuelle Workflows und Tools zu integrieren. Dies unterstützt die Automatisierung von Sicherheitsprozessen und stellt sicher, dass Sicherheit ein integraler Bestandteil des gesamten Entwicklungszyklus ist.

Veracode plant, die Geschwindigkeit und Genauigkeit seiner Application Security Testing (AST)-Lösungen durch mehrere strategische Maßnahmen weiter zu verbessern:

  1. Erweiterte Automatisierung und KI-Integration:Durch den verstärkten Einsatz von Künstlicher Intelligenz und maschinellem Lernen sollen Sicherheitsanalysen beschleunigt und die Präzision der Ergebnisse erhöht werden. Diese Technologien ermöglichen eine schnellere Identifikation von Schwachstellen und reduzieren die Anzahl von Fehlalarmen.
  2. Optimierung der Scan-Performance:Veracode arbeitet kontinuierlich an der Verbesserung der Scan-Geschwindigkeit, um Entwicklern nahezu in Echtzeit verwertbare Ergebnisse zu liefern. Dies unterstützt die Integration von Sicherheitstests in agile Entwicklungsprozesse und verkürzt die Time-to-Market für Anwendungen.
  3. Integration in DevSecOps-Pipelines:Durch die nahtlose Einbindung von Sicherheitstests in Continuous Integration/Continuous Deployment (CI/CD)-Pipelines wird der Testprozess automatisiert und beschleunigt. Entwickler erhalten frühzeitig Feedback zu Sicherheitslücken, was die Effizienz und Genauigkeit der Fehlerbehebung steigert.
  4. Verbesserung der False-Positive-Rate:Veracode legt großen Wert darauf, die Rate an Fehlalarmen zu minimieren. Durch den Einsatz fortschrittlicher Analysemethoden und kontinuierlicher Optimierung der Testalgorithmen wird die Genauigkeit der Ergebnisse erhöht, sodass Entwickler sich auf tatsächliche Sicherheitsrisiken konzentrieren können.

Die KI wird von Veracode weiterhin für das Fixen verwendet, alles andere ist erst einmal offen, AI wird eventuell erst in den folgenden Jahren auch für andere Zwecke eingebaut.

Veracode stellt sicher, dass seine Produkte auch bei zunehmender Komplexität von Softwareentwicklungsprojekten skalierbar und benutzerfreundlich bleiben, indem es folgende Strategien verfolgt:

  1. Cloud-native SaaS-Plattform:Veracode bietet eine vollständig cloudbasierte Software-as-a-Service (SaaS)-Plattform an, die es Unternehmen ermöglicht, ohne zusätzliche Hardware oder komplexe Installationen zu skalieren. Diese Architektur gewährleistet hohe Leistung und Flexibilität, unabhängig von der Größe des Projekts.
  2. Integration in bestehende Entwicklungsumgebungen:Durch die Bereitstellung von Plugins und Erweiterungen für gängige Entwicklungsumgebungen und Continuous Integration/Continuous Deployment (CI/CD)-Pipelines können Entwickler Sicherheitsprüfungen nahtlos in ihre bestehenden Workflows integrieren. Dies fördert die Benutzerfreundlichkeit und reduziert den Aufwand für die Implementierung von Sicherheitstests.
  3. Automatisierung und maschinelles Lernen:Veracode setzt auf Automatisierung und maschinelles Lernen, um Sicherheitsanalysen effizienter zu gestalten. Durch den Einsatz dieser Technologien werden Sicherheitslücken schneller identifiziert und die Anzahl von Fehlalarmen reduziert, was die Benutzerfreundlichkeit erhöht.
  4. Umfassende Programmiersprachenunterstützung:Die Plattform unterstützt eine breite Palette von Programmiersprachen und Frameworks, sodass Entwickler unabhängig von ihrer Technologieumgebung Sicherheitsprüfungen durchführen können. Dies erleichtert die Integration in diverse Entwicklungsprojekte und fördert die Skalierbarkeit.

“Durch diese Maßnahmen gewährleistet Veracode, dass seine Produkte auch bei steigender Komplexität von Softwareentwicklungsprojekten sowohl skalierbar als auch benutzerfreundlich bleiben”, so Julian.

Veracode unterstützt Unternehmen auch in Multi-Cloud-Umgebungen durch eine Reihe von Maßnahmen, die darauf abzielen, Sicherheitsanforderungen effizient zu erfüllen:

  1. Cloud-native Sicherheitslösungen:Veracode bietet cloudbasierte Sicherheitslösungen an, die speziell für Multi-Cloud-Umgebungen entwickelt wurden. Diese Lösungen ermöglichen es Unternehmen, Sicherheitsprüfungen und -maßnahmen konsistent über verschiedene Cloud-Plattformen hinweg durchzuführen.
  2. Einheitliche Sicherheitsplattform:Die Veracode Application Security Platform integriert verschiedene Sicherheitsprüfungen wie statische Analyse (SAST), dynamische Analyse (DAST) und Software Composition Analysis (SCA) in einer zentralen Lösung. Dies erleichtert die Verwaltung von Sicherheitsrisiken in komplexen Multi-Cloud-Umgebungen.
  3. Integration in DevSecOps-Pipelines:Veracode bietet Integrationen für gängige Continuous Integration/Continuous Deployment (CI/CD)-Tools an, die in Multi-Cloud-Umgebungen genutzt werden. Dadurch können Sicherheitsprüfungen automatisiert und nahtlos in bestehende Entwicklungsprozesse eingebunden werden.
  4. Unterstützung für Container und Microservices:Veracode unterstützt die Sicherheit von Container-basierten Anwendungen und Microservices, die häufig in Multi-Cloud-Umgebungen eingesetzt werden. Dies umfasst die Analyse von Container-Images und die Überprüfung von Sicherheitsrichtlinien für Microservices-Architekturen.

Veracode spielt eine zentrale Rolle in der Zukunft der Cybersicherheit, insbesondere durch die kontinuierliche Anpassung an sich entwickelnde Bedrohungen und technologische Fortschritte. Das Unternehmen hat kürzlich sein Velocity-Partnerprogramm erweitert und ein technisches Zertifizierungsprogramm eingeführt, um Partner weltweit mit innovativen Lösungen für Anwendungs- und Cloud-Risikomanagement auszustatten.

Diese strategischen Partnerschaften ermöglichen es Veracode, neue Marktsegmente zu erschließen und seine Präsenz in verschiedenen Regionen zu stärken. Durch die Zusammenarbeit mit Wiederverkäufern und Value-Added-Distributoren kann Veracode seine Lösungen einem breiteren Kundenstamm anbieten und auf spezifische regionale Anforderungen eingehen.

Darüber hinaus investiert Veracode in die Entwicklung neuer Technologien und Dienstleistungen, um den wachsenden Anforderungen der Cybersicherheitslandschaft gerecht zu werden. Mit dem Fokus auf Cloud-Sicherheit, DevSecOps und der Integration von Künstlicher Intelligenz in Sicherheitslösungen positioniert sich Veracode als Vorreiter in der Branche.

Julian zitiert: “In den kommenden Jahren wird Veracode voraussichtlich weiterhin strategische Partnerschaften eingehen und neue Marktsegmente ansprechen, um seine Position als führender Anbieter von Anwendungssicherheitslösungen zu festigen und den sich ständig ändernden Bedrohungen im Bereich der Cybersicherheit effektiv zu begegnen”.