Checkmarx schützt Cloud-native Anwendungen mit neuer Scanning-Lösung für Infrastructure-as-Code (IaC)

Open-Source-basierte IaC-Scan-Engine ermöglicht es Entwicklern als branchenweit umfangreichste Plattform, Konfigurationsprobleme zu identifizieren und zu beheben

München – 25. Februar 2021 – Checkmarx, einer der weltweit führenden Anbieter im Bereich Software-Security für DevOps, bietet mit KICS (Keeping Infrastructure as Code Secure) eine neue, Open-Source-basierte Lösung für statische Analysen, die es Entwicklern ermöglicht, Infrastructure-as-Code (IaC) sicher zu entwickeln. Mit KICS baut Checkmarx sein AST-Portfolio weiter aus und stellt nun eine durchgängige Security-Plattform für eigenentwickelten Code, Open-Source-Komponenten und kritische Infrastrukturen in klassischen und Cloud-nativen Anwendungen bereit.

IaC hat in den vergangenen Jahren stetig an Bedeutung gewonnen: Immer mehr Unternehmen verlagern ihre Anwendungen in die Cloud und sind auf die rasche und skalierbare Bereitstellung Cloud-basierter Infrastrukturen angewiesen. Den vielen Vorzügen von IaC stehen aber auch signifikante Risiken gegenüber, mit denen Entwickler zu kämpfen haben – etwa mit Blick auf die Sicherheit, die Compliance und die Konfiguration der Umgebungen. Schon heute sind Probleme, die auf Konfigurations- und Bereitstellungsfehler zurückgehen, die zweithäufigste Ursache erfolgreicher Breaches.

KICS erkennt Schwachstellen, hard-gecodete Schlüssel und Passwörter, Compliance-Verstöße und Konfigurationsfehler automatisch zu Beginn des IaC-Build-Zyklus und macht es Entwicklern leicht, diese Probleme zu korrigieren, bevor der Build in die Produktivumgebung geht. Aufsetzend auf die branchenweit umfangreichste IaC-Scan-Engine unterstützt KICS führende IaC-Technologien wie Terraform, Kubernetes, Docker, AWS CloudFormation und Ansible. Darüber hinaus bietet KICS mehr als 1.200 hochgradig individualisierbare und anpassbare Queries, die mehr als zwölf Kategorien abdecken – von Verschlüsselung und Schlüssel-Management bis hin zur Port-Security im Netzwerk.

“Die Entwicklungsprozesse verändern sich, und die Unternehmen treiben ihre Cloud-Migration immer weiter voran. In der Folge müssen die Entwickler immer mehr Verantwortung für die Security übernehmen – und Software schneller bereitstellen als je zuvor. Dieser Balanceakt ist nicht zu schaffen, wenn man auf zeitaufwändige, manuelle Code-Reviews angewiesen ist”, erklärt Maty Siman, CTO und Gründer von Checkmarx. “Mit KICS haben wir daher eine Lösung entwickelt, mit der Entwicklerteams Probleme in IaC automatisch identifizieren können, solange sie sich noch einfach, schnell und günstig korrigieren lassen. Mit dieser neuesten Erweiterung des Checkmarx Portfolios bieten wir Entwicklern jetzt eine durchgängige Lösung, die sämtliche Komponenten komplexer Anwendungen von heute zuverlässig schützt.”

Wichtige Features und Vorteile von KICS im Überblick:

– Integrierte Erweiterbarkeit: KICS bietet die größte “Query-Library” auf dem Markt, die sich zudem flexibel individualisieren und anpassen lassen. Die robuste, aber einfache Architektur von KICS ermöglicht es überdies, neue IaC-Tools unkompliziert und schnell einzubinden.

– Aus der Community, für die Community: Sowohl bei der Scan-Engine als auch bei den hinterlegten Queries handelt es sich um Open-Source-Projekte, die kostenfrei und transparent für eine breite Community von tausenden von Security- und DevOps-Experten bereitstehen. Im Zusammenspiel mit Checkmarx” eigenen Experten, die kontinuierlich neue Features und Updates bereitstellen, entwickelt sich KICS rasant weiter.

– Nahtlose CI/CD-Integration: KICS lässt sich flexibel in bestehende CI/CD-Pipelines wie GitHub Actions und GitLab CI integrieren. So können die Entwickler ihre IaC-Projekte auf Schwachstellen und Konfigurationsfehler hin überwachen, ohne das gewohnte Toolset zu verlassen.

Siman fährt fort: “Checkmarx ist ganz klar ein Verfechter des Open-Source-Gedankens. KICS in dieser Form anzulegen, gestattet es unserer Community, die Richtung des Projekts in Zukunft mitzubestimmen und diese innovative Lösung branchenweit zu etablieren. Wir sind sehr gespannt zu sehen, wie unsere begeisterte Community KICS aufnehmen und zu einer Schlüsselkomponente im Cloud-Security-Toolset eines jeden Entwicklers weiterentwickeln wird.”

“Ich freue mich sehr, Checkmarx – einen langjährig erfahrenen AST-Anbieter – mit dem Release von KICS in unserem Open-Source-Ökosystem willkommen zu heißen”, erklärt Lior Kaplan, Open-Source-Berater und Evangelist. “KICS stößt bei den DevOps- und Security-Experten in der Open-Source-Szene schon jetzt auf reges Interesse. Und das wird zweifellos rasant zunehmen, wenn das Projekt weiter skaliert und auch auf anderen Infrastructure-as-Code-Plattformen Einzug hält.”

Mehr dazu unter kics.io.

Über Checkmarx

Checkmarx ist einer der weltweit führenden Anbieter von Software-Security-Lösungen für die Entwicklung von Enterprise-Software. Das Unternehmen bietet eine der branchenweit umfassendsten Software-Security-Plattformen, die mit statischem und interaktivem Application Security Testing, der Analyse von Open-Source-Komponenten und AppSec-Training für Entwickler an der Schnittstelle von DevOps und Security ansetzt. So minimiert Checkmarx auch in schnell getakteten DevOps-Umgebungen zuverlässig Risiken durch Software-Schwachstellen. Checkmarx ist für über 40 Unternehmen auf der Fortune 100 Liste und die Hälfte der Fortune 50 tätig, darunter führende Unternehmen wie SAP, Samsung und Salesforce.com. Erfahren Sie mehr unter www.checkmarx.com

Firmenkontakt
Checkmarx Germany GmbH
Dr. Christopher Brennan
Theatinerstraße 11
80333 München
+49 (0)89 71042 2056
christopher.brennan@checkmarx.com
https://www.checkmarx.com/

Pressekontakt
H zwo B Kommunikations GmbH
Michal Vitkovsky
Neue Straße 7
91088 Bubenreuth
+49 9131 81281-25
michal.vitkovsky@h-zwo-b.de
http://www.h-zwo-b.de/