Veracode

Veracode ist der führende Anbieter für Cloud-basierte Security Code Scans.
 

Veracode SAST

Veracode SAST (Static Application Security Testing) ist das Flaggschiff der Veracode-Produktfamilie. Kunden laden hierbei ihren kompilierten Programmcode (z.B. eine WAR-Datei bei Java) entweder manuell in der Web GUI oder automatisiert von ihren Buildsystemen oder Entwickler GUIs in die Veracode Cloud hoch. Die Bereitstellung von Sourcecode ist bei kompilierten Sprachen wie Java, .NET oder C/C++ nicht erforderlich.

Veracode scannt in der Folge den bereitgestellten Code auf gängige Sicherheitsprobleme (z.B. Cross-Site Scripting, Buffer Overflows) und gegen voreingestellte Policies. Die Scanergebnisse lassen sich wiederum mittels Web Interface (siehe unten) oder in einer der vielen unterstützten Entwickler GUIs (z.B. Eclipse) analysieren, kommentieren und bei Bedarf auch erneute Scans anstoßen. Techniker des Herstellers unterstützten Sie bei Fragen zu einzelnen Findings.
 
veracode screenshot

Highlights

  • Cloud-Basierte Security Code Analysen (geringer Betriebsaufwand)
  • Analysiert wird Bytecode bzw. kompilierter Programmcode (kein Sourcecode erforderlich)
  • Integration in Buildsysteme und Entwickler GUIs (z.B. Eclipse) möglich
  • Workflow Modell für Freigabe von Mitigierungen
  • Identifikation von unsicheren Third Party Bibliotheken
  • Scanergebnisse können bei Bedarf mit Technikern des Herstellers in einer WebEx besprochen werden.
  • Zahlreiche unterstützte Sprachen: Java / JSP, ASP.NET, C#, VB.NET, ASP, VB6, Coldfusion, C/C++, Win Mobile, ObjectiveC, PHP 5.5, Ruby on Rails, Cobol

 

Veracode DAST

Veracode DAST (Dynamic Application Security Testing) ist ein cloudbasierter Web Security Scanner, welche aus drei einzeln lizensierbaren Komponenten besteht:

  • Veracode Discovery: Identifiziert Webanwendungen des Kunden (z.B. durch einen Scan bestimmter IP-Bereiche)
  • Veracode Dynamic MP: Führt einen Basisscan des nicht angemeldeten Bereiches auf gängige Sicherheitsprobleme durch
  • Veracode Dynamic DS: Scanns zusätzlich auch den angemeldeten Bereich einer Webanwendung

dynamic-scan-types-veracode

Highlights

  • Einfache Inbetriebnahme
  • Scans gegen produktive Anwendungen möglich (“production safe”)
  • Periodische oder Manuell angeforderte Scans aus der Veracode Cloud
  • Scannen von internen Anwendungen mittels virtueller Applicance (VSA) möglich.
  • Scans von angemeldeten Bereichen möglich (z.B. durch Hochladen von Login Selenium Skripten)
  • Bei Bedarf: Unterstützung bei Konfiguration und Auswertung von Scanergebnissen durch Techniker des Herstellers über WebEx

 

Kontakt

Sie habe Fragen zu einem dieser Produkte oder wollen Sie sich seine Funktionsweise in einer WebEx unverbindlich vorführen lassen? Dann wenden Sie sich einfach an unser Sales-Team. Gerne besprechen wir mit Ihnen auch Möglichkeiten für eine kostenlose Teststellung.

[contact-form-7 id=”1589″ title=”Kontaktformular 1″]