Contrast Security in mijn ontwikkelstraat: wat zijn de voordelen? 

Wat is Contrast Security?

Voor wie Contrast Security nog niet kent: het is tooling die DevOps real-time bij staat in het ontwikkelen van veilige (web)applicaties. Naast functionaliteit en uiterlijk is veiligheid ontzettend belangrijk, tenslotte. Stiekem streeft iedereen naar het ontwikkelen van de ultieme – dus ook veilige –  applicatie. (En anders krijg je dat wel opgelegd door een security manager)

In de praktijk is security alleen een “afterthought”. Iets wat pas na het bouwen van een functionele en mooie applicatie wordt bekeken. Dat is vaak een domper, want het visuele en praktische eindresultaat staat er al. Daarbij is het vaak ook nog een extra tijdrovende klus om achteraf alle kwetsbaarheden uit de applicatie te vissen. Om nog maar te zwijgen over de impact die het soms op het ontwerp heeft.

Contrast Security belooft dat het tackelen van kwetsbaarheden dankzij hun tool al op een natuurlijke manier tijdens het ontwikkelproces plaats kan vinden. Sterker nog: door niet meer achteraf op zoek te gaan naar kwetsbaarheden, winnen developers volgens Contrast Security 85% van hun tijd terug.

Voor en door developers

Hoe maakt Contrast Security deze belofte waar? Er komen vaker tools op de markt die bergen goud beloven, maar uiteindelijk een fractie leveren. In het geval van Contrast Security levert het echt wat het belooft. Dat is allemaal te danken aan Jeff Williams, Co-Author van de OWASP Top 10. Hij is als developer namelijk de medeoprichter van Contrast Security.

Jeff Williams en zijn team weten precies waar de knelpunten liggen op het gebied van Appsec in het ontwikkelproces. Met die wetenschap zijn zij de tool gaan maken. De tool moest betrouwbaar én functioneel zijn, passend in de gemiddelde ontwikkelstraat. Daar horen tijdrovende scans bijvoorbeeld niet in thuis.

Instrumentatie: Contrast Security zit IN de applicatie

In tegenstelling tot andere tools op de markt, zit Contrast Security in de applicatie. Doordat het van binnenuit werkt, zijn die tijdrovende scans dus niet meer nodig. Informatie over de meest actuele kwetsbaarheden zijn direct real-time zichtbaar.

Lees binnenkort ons artikel waarin we dieper in gaan op instrumentatie.

Daardoor zeer weinig false positives: 97% accurate gegevens

Het dashboard geeft in één oogopslag inzicht in de meest recente kwetsbaarheden. Hoeveel kwetsbaarheden zitten er in de applicatie? Hoe kritisch zijn ze? Hoe oud? En wat is de mogelijke impact? Contrast Security staat vol waardevolle informatie die voor 97% accuraat is. Doordat de tool van binnenuit werkt, komen vervelende false positives veel minder vaak voor dan bij andere tools (die van buitenaf scannen).

Hoe kan het dat Contrast Security real-time resultaten levert?

Contrast Security kijkt naar legitiem gebruik van de applicatie. Tijdens het testen van een applicatie komen de kwetsbaarheden real-time naar voren in de software. Het mooie is dat manueel testen van code al in de gemiddelde workflow zit: tenslotte is code controleren op functionaliteit een onmisbaar onderdeel van het ontwikkelproces. Dat betekent dat je niets anders dan normaal hoeft te doen om Contrast Security te laten werken. Functioneel checken van code doet men toch al. Dankzij de tool krijg je er automatisch informatie over security bij.

Een natuurlijke workflow met Contrast Security

Heb je Contrast geconfigureerd? Dan ziet een workflow met Contrast Security er vaak als volgt uit:

1. Je hoeft Contrast Security niet van te voren aan te zetten.
2. Je programmeert een applicatie zoals je dat gewend bent. Tussendoor check je de nieuwe functionaliteit in een gebouwde versie van de applicatie in de browser. Contrast analyseert het gebruik van de gebouwde applicatie en zet dit om in informatie over kwetsbaarheden.
3. Is er een belangrijke kwetsbaarheid ontdekt door Contrast Security? Dan krijg je direct een bericht hierover. Zo hoef je niet achteraf je code door te spitten, maar kan je er direct mee aan de slag.
4. Contrast weergeeft per kwetsbaarheid uit wat het risico is. In een simpele how-to legt de tool uit wat de juiste fix is. Deze uitleg is altijd relevant en afgestemd op je voertaal. Alle guidance die je nodig hebt, zonder cryptische uitleg waar niemand iets van snapt.
5. Aan de hand van de how-to fix je direct de kwetsbaarheid. Is de fix goed geïmplementeerd? Dan geeft Contrast dit aan. Vervolgens ga je verder met programmeren tot er weer een nieuwe kwetsbaarheid omhoog komt.
6. Achteraf bekijk je in het dashboard of er nog actuele kwetsbaarheden zijn. Heb je tijd? Dan verhelp je deze ook direct aan de hand van de how-to.

Doordat je tijdens de functionele ontwikkeling van de applicatie al bezig bent met security, hoef je achteraf niet meer alles na te lopen. De grootste tijdswinst? Die zit in het feit dat je nergens meer naar op zoek hoeft en ook nooit meer achteraf het ontwerp van een applicatie hoeft aan te passen. Dankzij Contrast weet je precies welk stukje code problemen oplevert en hoe je het snel verhelpt.

Verander zelf een secure coding expert

Daarnaast zien we in de praktijk dat veel developers automatisch beter worden in secure coding. Door steeds in de tool te zien wat de risico’s van een kwetsbaarheid zijn en hoe je deze verhelpt, leer je onbewust kwetsbaarheden veel sneller zelf te herkennen. Uiteindelijk gaat het schrijven veilige code steeds meer vanzelf.

Snel een functionele, mooie én veilige (web)applicatie

Al met al maakt Contrast Security het ontwikkelen van een veilige applicatie veel minder tijdrovend. De domper dat je je nog moet storten op security nadat de applicatie eigenlijk al volledig functioneel is, is niet meer aan de orde. Is de applicatie af? Dan is hij functioneel, mooi én veilig.