Sicherheit in der Build-Pipeline

DevOps ist modern und agil. Sie haben die Experten für Software-Entwicklung, wir haben die Experten für IT-Sicherheit. Mit unseren Dienstleistungen rund um DevSecOps bieten wir Ihnen eine perfekte Ergänzung zu Ihrem bestehenden Skill- und Tool-Set.

Beratung

Sie möchten Sicherheit in die Build-Pipeline bringen? Gerne beraten wir Sie umfassen in Workshops und Trainings zu allen Themen rund um die Einbettung von Sicherheitswerkzeugen in die Build-Pipeline. Gemeinsam besprechen und definieren wir die wichtigsten Anforderungen.

  • Prozesse
  • Verantwortlichkeiten
  • Werkzeuge
  • Bewertung und Management von Schwachstellen

Bringen Sie die Sicherheit Ihrer Anwendungen einen Sprint weiter.

Integration von IT-Sicherheit

Security-Werkzeuge lassen sich selten mit einem Klick in bestehende Pipelines integrieren. Der Teufel steckt oft im Detail. Ob die richtige Parametrisierung der Tools oder die sinnvolle Auswertung der Rückgabewerte – wir helfen Ihnen bei der konkreten technischen Umsetzung weiter:

  • Integration von Security-Werkzeugen in die Build-Pipeline
  • Scripting und Parametrisierung von Security-Werkzeugen
  • Automatisierte Bewertung, False-Positive-Bereinigung und Filterung von Befunden und Schwachstellen

Ob statische Code-Analyse oder dynamische Web-Scans: wir helfen bei der Integration diverser Tools, z. B.:

  • OWASP Dependency-Check
  • Burp Suite
  • OWASP Zap
  • openVAS
  • SSLyze
  • Nikto
  • Wapiti
  • nmap
  • u.v.m.

Gerne begleiten wir Sie auch langfristig in der Entwicklung einer sicheren Build-Umgebung.

Security in der Build-Pipeline als Service

Die Integration einzelner Tools und die Auswertung der Ergebnisse können kompliziert und aufwändig werden. Warum nicht einen fertigen Service nutzen?

Wir bieten Ihnen eine API-basierte Lösung zur einfachen Integration der relevanten IT-Sicherheitswerkzeuge in Ihre Build-Pipeline.

  • Wählen Sie aus über 20 verschiedenen Prüfschritten und Werkzeugen
  • Gemeinsam stimmen wir eine individuelle, passende Konfiguration der Werkzeuge ab
  • Integrieren Sie alle Werkzeuge mit wenigen API-Aufrufen

Assessment starten, Fertigstellung abwarten, Bericht abrufen. So simpel können Sicherheitsüberprüfungen in der DevOps-Pipeline ablaufen:

Ablauf DevSecOps mit bi-sec

Sie haben spezielle Anforderungen? Gerne entwickeln wir gemeinsam spezielle Lösungen.

Schulung

Mit steigendem Reifegrad der Pipeline wächst auch der Anspruch an das Skill-Set der Entwickler. Gerne helfen wir mit Schulungen und Trainings weiter, beispielsweise:

  • Themenspezifische Schulung von Security Champions
  • Websicherheit und Hacking von Webanwendungen
  • Härtung und sichere Konfiguration von Web-Services (IIS, nginx, Apache httpd, Tomcat, Wildfly, …)
  • Sichere Entwicklung in PHP und Java

Wir freuen uns über Ihre Kontaktaufnahme!