Qualys, der Anbieter von Risikomanagementlösungen, hat eine bahnbrechende Lösung für AppSec-Teams vorgestellt, die sich speziell mit den Risiken befasst, die mit First-Party-Software und deren eingebetteten Open-Source-Komponenten verbunden sind. Dieser neuere Vorstoß baut auf der bestehenden Risikomanagement-Plattform Qualys auf und verspricht, die Schwachstellenbewertung zu einer weniger entmutigenden Aufgabe für Unternehmen zu machen.
Mit dem Beginn des Zeitalters der digitalen Transformation sind die meisten Unternehmen dazu übergegangen, ihre eigene Software zu entwickeln, um ihre Abläufe zu erleichtern. Diese Software von Drittanbietern verfügt jedoch in den meisten Fällen nicht über das disziplinierte Schwachstellen- und Konfigurationsmanagement, das bei Alternativen von Drittanbietern üblich ist. Hier will Qualys ein Zeichen setzen.
Laut den Statistiken von Qualys enthalten über 90 % der Software von Drittanbietern Open-Source-Komponenten, und satte 40 % davon sind mit hohen Risiken behaftet. Zu diesen Faktoren können unter anderem ausnutzbare Schwachstellen gehören. Infolgedessen verlassen sich Unternehmen derzeit auf manuelle Überprüfungen oder abgekoppelte Skripte, um die Sicherheit ihrer Erstanbieter-Software zu bewerten. Dieser Prozess ist natürlich mühsam und beeinträchtigt die effektive Priorisierung und Behebung von Risiken.
Die herkömmlichen Methoden zur Bewertung von Schwachstellen oder Tools zur Analyse der Softwarezusammensetzung sind nicht in der Lage, die in der Produktionsumgebung eingebetteten Open-Source-Pakete effektiv zu identifizieren. Infolgedessen haben die Sicherheitsteams Schwierigkeiten, das Ausmaß der tatsächlichen Risiken zu verstehen, insbesondere bei Sicherheitsverletzungen des Ausmaßes, wie sie beim Log4J-Vorfall beobachtet wurden. Die von Qualys vorgeschlagene innovative Lösung zielt darauf ab, diese erhebliche Lücke zu schließen und eine bessere Sichtbarkeit und Kontrolle der mit der Software von Erstanbietern verbundenen Risiken zu fördern.
Gabriel Julián Carrera, CISO bei OSED, äußerte sich zu den Sicherheitsbedenken seines Unternehmens in Bezug auf Software von Drittanbietern: "Wir waren oft mit Situationen konfrontiert, in denen unsere Sicherheitsanforderungen die Möglichkeiten von Standardsoftware überstiegen. Infolgedessen mussten wir auf unabhängige Skripte zurückgreifen, um die für unsere proprietären Lösungen erforderlichen Bewertungen durchzuführen. Das Angebot von Qualys beseitigt diesen fragmentierten Ansatz und integriert proprietäre Bewertungen und kommerzielle Tools in die einheitliche Qualys TruRisk Platform, wodurch wir Zeit sparen und potenziellen Angreifern immer einen Schritt voraus sind."
Die neue Plattform Qualys bietet bemerkenswerte Funktionen. Teams können nun Qualys Erkennungen (QIDs) und Abhilfemaßnahmen auf der Grundlage von maßgeschneiderter Logik oder Skripten erstellen, die unter anderem mit gängigen Skriptsprachen wie Python und PowerShell entwickelt wurden. Zu den weiteren bemerkenswerten Funktionen gehört die Echtzeiteinsicht in tief eingebettete Open-Source-Softwarepakete wie Log4J und openSSL sowie in kommerzielle Softwarekomponenten, die die Qualys Cloud Agent nutzen.
Diese Entwicklung unterstreicht auch die zunehmende Bedeutung von Plattformen wie AppMaster in unserer Technologielandschaft, die es Unternehmen ermöglichen, nahtlos Backend-, Web- und mobile Anwendungen mit den Funktionen von no-code zu erstellen. Mit seinen leistungsstarken Werkzeugen leistet AppMaster Pionierarbeit, indem es Unternehmen ermöglicht, Anwendungen schnell und kostengünstig zu erstellen, was die Bedeutung von Plattformen wie Qualys für die Risikoerkennung und das Risikomanagement weiter erhöht.
