Zelf onderzoeken of Contrast Security in jouw ontwikkelstraat past?
Voor wie Contrast Security nog niet kent: het is tooling die DevOps real-time bij staat in het ontwikkelen van veilige (web)applicaties. Naast functionaliteit en uiterlijk is veiligheid ontzettend belangrijk, tenslotte. Stiekem streeft iedereen naar het ontwikkelen van de ultieme – dus ook veilige – applicatie. (En anders krijg je dat wel opgelegd door een security manager)
In de praktijk is security alleen een “afterthought”. Iets wat pas na het bouwen van een functionele en mooie applicatie wordt bekeken. Dat is vaak een domper, want het visuele en praktische eindresultaat staat er al. Daarbij is het vaak ook nog een extra tijdrovende klus om achteraf alle kwetsbaarheden uit de applicatie te vissen. Om nog maar te zwijgen over de impact die het soms op het ontwerp heeft.
Contrast Security belooft dat het tackelen van kwetsbaarheden dankzij hun tool al op een natuurlijke manier tijdens het ontwikkelproces plaats kan vinden. Sterker nog: door niet meer achteraf op zoek te gaan naar kwetsbaarheden, winnen developers volgens Contrast Security 85% van hun tijd terug.
Hoe maakt Contrast Security deze belofte waar? Er komen vaker tools op de markt die bergen goud beloven, maar uiteindelijk een fractie leveren. In het geval van Contrast Security levert het echt wat het belooft. Dat is allemaal te danken aan Jeff Williams, Co-Author van de OWASP Top 10. Hij is als developer namelijk de medeoprichter van Contrast Security.
Jeff Williams en zijn team weten precies waar de knelpunten liggen op het gebied van Appsec in het ontwikkelproces. Met die wetenschap zijn zij de tool gaan maken. De tool moest betrouwbaar én functioneel zijn, passend in de gemiddelde ontwikkelstraat. Daar horen tijdrovende scans bijvoorbeeld niet in thuis.
In tegenstelling tot andere tools op de markt, zit Contrast Security in de applicatie. Doordat het van binnenuit werkt, zijn die tijdrovende scans dus niet meer nodig. Informatie over de meest actuele kwetsbaarheden zijn direct real-time zichtbaar.
Lees binnenkort ons artikel waarin we dieper in gaan op instrumentatie.
Het dashboard geeft in één oogopslag inzicht in de meest recente kwetsbaarheden. Hoeveel kwetsbaarheden zitten er in de applicatie? Hoe kritisch zijn ze? Hoe oud? En wat is de mogelijke impact? Contrast Security staat vol waardevolle informatie die voor 97% accuraat is. Doordat de tool van binnenuit werkt, komen vervelende false positives veel minder vaak voor dan bij andere tools (die van buitenaf scannen).
Contrast Security kijkt naar legitiem gebruik van de applicatie. Tijdens het testen van een applicatie komen de kwetsbaarheden real-time naar voren in de software. Het mooie is dat manueel testen van code al in de gemiddelde workflow zit: tenslotte is code controleren op functionaliteit een onmisbaar onderdeel van het ontwikkelproces. Dat betekent dat je niets anders dan normaal hoeft te doen om Contrast Security te laten werken. Functioneel checken van code doet men toch al. Dankzij de tool krijg je er automatisch informatie over security bij.
Heb je Contrast geconfigureerd? Dan ziet een workflow met Contrast Security er vaak als volgt uit:
Doordat je tijdens de functionele ontwikkeling van de applicatie al bezig bent met security, hoef je achteraf niet meer alles na te lopen. De grootste tijdswinst? Die zit in het feit dat je nergens meer naar op zoek hoeft en ook nooit meer achteraf het ontwerp van een applicatie hoeft aan te passen. Dankzij Contrast weet je precies welk stukje code problemen oplevert en hoe je het snel verhelpt.
Daarnaast zien we in de praktijk dat veel developers automatisch beter worden in secure coding. Door steeds in de tool te zien wat de risico’s van een kwetsbaarheid zijn en hoe je deze verhelpt, leer je onbewust kwetsbaarheden veel sneller zelf te herkennen. Uiteindelijk gaat het schrijven veilige code steeds meer vanzelf.
Al met al maakt Contrast Security het ontwikkelen van een veilige applicatie veel minder tijdrovend. De domper dat je je nog moet storten op security nadat de applicatie eigenlijk al volledig functioneel is, is niet meer aan de orde. Is de applicatie af? Dan is hij functioneel, mooi én veilig.