Als Antwort auf die zunehmenden Angriffe auf die Softwarelieferkette stellt BlueFlag Security erweiterte Funktionen auf seiner Sicherheits- und Governance-Plattform für den Softwareentwicklungszyklus (SDLC) bereit, die für eine sicherere, robustere und vertrauenswürdigere Entwicklungsumgebung sorgt. Seit dem Start im März 2024 hat BlueFlag die vier Grundpfeiler der Plattform erweitert, automatisierte und angeleitete Abhilfemaßnahmen eingeführt und die Unterstützung zusätzlicher Entwicklertools ergänzt.
Laut einer Studie von Gartner® belaufen sich die geschätzten Kosten dieser [Lieferketten-]Angriffe auf mehrere zehn Milliarden US-Dollar und könnten bis 2031 um 200 % auf 138 Milliarden US-Dollar ansteigen.* Diese wachsenden Bedrohungen, die durch Vorfälle wie die Quellcode-Kompromittierung bei der New York Times nach einer Sicherheitsverletzung bei GitHub bestätigt werden, machen deutlich, wie Entwicklungsumgebungen immer mehr ins Visier geraten. BlueFlag mindert diese Risiken durch einen einzigartigen Ansatz, indem es die drei kritischen und gegenseitig abhängigen Angriffsvektoren im SDLC adressiert – Entwickleridentitäten (Mensch und Maschine), Fehlkonfigurationen von Entwicklertools und Schwachstellen im Code. So lassen sich die toxischen Kombinationen verhindert, die diese Angriffe so gefährlich machen.
Mit BlueFlag können Entwicklungsteams präventive Maßnahmen anwenden, die die Angriffsfläche in jeder Phase des Entwicklungszyklus verringern. Zu den vier Grundpfeilern der Plattform, die kritische SDLC-Angriffsvektoren bekämpfen und die Compliance gewährleisten, zählen:
- Identity Governance: schützt, verwaltet und überwacht menschliche (interne und externe Entwickler) und maschinelle (Dienstkonten und Anwendungen) Identitäten, die oft die primäre Risikoquelle im SDLC darstellen. Durch die Anwendung des Prinzips der niedrigstmöglichen Zugriffsrechte, die Erkennung abgelaufener Identitäten und die Überwachung riskanter Verhaltensmuster wie die Umgehung von Niederlassungsrichtlinien identifiziert, priorisiert und behebt BlueFlag identitätsbezogene Bedrohungen.
- Pipeline Security Posture Management: schützt die Entwicklungspipeline, einschließlich Quellcode-Management (SCM), Artefakt-Repositories und CI/CD-Prozesse. BlueFlag setzt den Sicherheitsstatus verschiedener Tools durch, die von Entwicklern verwendet werden, erkennt Fehlkonfigurationen, verhindert Missbrauch und blockiert nicht autorisierte Zugriffe, um sichere und konforme Builds und Implementierungen zu gewährleisten.
- Code Governance: schützt die Codebasis, indem Risiken in proprietären und Open-Source-Paketen identifiziert und entschärft werden. BlueFlag scannt kontinuierlich nach Schwachstellen, verwaltet vertrauliche Informationen und erkennt Schwachstellen in der Infrastructure-as-Code (IaC), um sichere Coding-Praktiken zu gewährleisten und unsichere Implementierungen zu verhindern.
- Automated Continuous Compliance: integriert automatisierte Compliance-Prüfungen direkt in die Entwicklungs-Workflows und überwacht die lückenlose Einhaltung von Branchenstandards wie CIS, SOC 2, ISO 27001 oder NIST-800. BlueFlag automatisiert die Vorbereitung auf Audits und die Sammlung von Nachweisen. Dies mindert den Aufwand für die Einhaltung von Vorschriften und ermöglicht, dass Ihr Unternehmen jederzeit auf Audits vorbereitet ist.
Ab sofort bietet BlueFlag automatisierte und angeleitete Abhilfemaßnahmen an und hilft Unternehmen, vom reaktiven auf ein proaktives Sicherheitsmanagement zu wechseln. Anders als Lösungen, die sich allein auf Warnmeldungen oder die Priorisierung von Schwachstellen konzentrieren, führt BlueFlag die Entwickler nicht nur durch die einzelnen Schritte zur Behebung von Risiken, sondern bietet wenn möglich auch eine automatisierte Behebung an, um die Lösung zu beschleunigen. Um eine umfassende SDLC-Sicherheitsabdeckung bereitzustellen, ist BlueFlag in ein wachsendes Ökosystem von Tools integriert, darunter Quellcode-Managementplattformen wie GitHub oder BitBucket, Artefakt-Repositories wie JFrog, Entwickler-Sicherheitstools wie Snyk, Servicemanagement-Tools wie Jira oder Slack sowie IAM-Systeme wie Okta oder Azure AD.
„Die Integration bewährter Sicherheitspraktiken in die Softwareentwicklungsprozesse stellt Unternehmen vor dringende und stetige Herausforderungen. Vielen Teams fehlen die notwendigen Tools und Verfahren, um die Risiken während des gesamten SDLC effektiv zu entschärfen“, berichtet Katie Norton, Research Manager, DevSecOps and Software Supply Chain Security bei IDC. „BlueFlag erleichtert Unternehmen, ihre Entwicklungsumgebungen rundum abzusichern. Ermöglicht wird dies durch eine zentrale Plattform für die Implementierung eines umfassenden SDLC-Sicherheits- und Governance-Frameworks, das die Verwaltung von Entwickleridentitäten, die Verwaltung des Pipeline-Sicherheitsstatus, Code Governance und Compliance abdeckt.“
BlueFlag bietet die folgenden betrieblichen Effizienzsteigerungen und Kosteneinsparungen für seine Kunden:
- Senkung der Betriebskosten um 62 % durch Automatisierung von Sicherheits-, Governance- und Compliance-Aufgaben. Damit können sich die Teams ganz der Entwicklung von Innovationen und hochwertigen Initiativen zuwenden.
- Senkung der Kosten für DevOps-Tool-Lizenzen um 30 %, indem abgelaufene Identitäten identifiziert und entfernt werden. So wird sichergestellt, dass Sie nur für die Lizenzen zahlen, die Sie wirklich benötigen.
- Verringerung des Zeitaufwands für die Problembehebung um 80 % durch angeleitete und automatisierte Verfahren. Auf diese Weise können Entwickler Sicherheitsprobleme schnell und ohne Unterbrechung der Workflows beheben.
- Lückenlose Compliance und Verkürzung der Vorbereitungszeit auf Audits um 45 % durch automatisierte Compliance-Checks, die in Ihren Entwicklungsprozess eingebettet sind.
„Die rasante Entwicklung unserer Plattform spiegelt das Engagement von BlueFlag für den proaktive Schutz sämtlicher Bereiche des SDLC wider. Mit der Erweiterung unserer Fähigkeiten bei allen vier Grundpfeilern der Plattform helfen wir Unternehmen, ihre Betriebskosten zu senken, Bedrohungen zu vermeiden und die Integrität ihrer Entwicklungsprozesse zu garantieren – ohne Einbußen bei der Geschwindigkeit oder Flexibilität“, erklärt Raj Mallempati, CEO bei BlueFlag Security.
Wenn Sie selbst erleben möchten, wie sich BlueFlag Security nahtlos in Ihre Entwicklungsumgebung einfügt und die Sicherheit in jeder Phase erhöht, vereinbaren Sie einen Termin für eine Demo, um die Plattform live zu erleben. BlueFlag wurde 2024 zu einem TechCrunch Startup Battlefield 200-Unternehmen ernannt, und wird bei der TechCrunch Disrupt vom 28. bis 30. Oktober ausstellen.
* Gartner, Leader‘s Guide to Software Supply Chain Security, Dale Gardner, Manjunath Bhat, 20. Juni 2024.
GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder deren Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
Über BlueFlag Security
BlueFlag Security bietet einen umfassenden, identitätsbasierten Ansatz für den Schutz des Softwareentwicklungszyklus (SDLC). Durch den Fokus auf menschliche und maschinelle Entwickleridentitäten und Toolchain-Sicherheit unterstützt BlueFlag Unternehmen dabei, die kritischsten Angriffsvektoren zu adressieren, die oft von herkömmlichen codezentrierten Lösungen vernachlässigt werden. Die Plattform verwendet eine KI-gestützte Aktivitätsintelligenz zur Überwachung und Analyse von Risiken, zur Durchsetzung von Richtlinien und zur Automatisierung von Abhilfemaßnahmen. Mit Funktionen für die Identitätsverwaltung, Pipeline-Sicherheit, Code-Verwaltung und lückenloser Compliance stärkt BlueFlag proaktiv den Sicherheitsstatus und optimiert zugleich die betriebliche Effizienz, um den Schutz vor neuen Bedrohungen in der Softwarelieferkette zu gewährleisten. Nähere Informationen über BlueFlag Security unter www.blueflagsecurity.com.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20241022711038/de/