Arnica kündigte die Veröffentlichung einer Reihe neuer Sicherheitstools an, darunter Static Application Security Testing (SAST), Infrastructure as Code (IAC) Scanning, Software Composition Analysis (SCA) und Reputationschecks von Drittanbieterpaketen. Mit der Ergänzung des bestehenden Angebots durch diese Tools ist Arnica nun die erste umfassende Sicherheitslösung, die die Einführung von Code-Risiken in Echtzeit identifiziert und verhindert. Die Plattform ermöglicht eine vollständige Abdeckung vom ersten Tag an und bietet einen vollständigen Kontext über die Verantwortlichkeit und Abschwächung der identifizierten Schwachstellen.
Einem kürzlich veröffentlichten Bericht zufolge belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung in den USA auf 9,44 Millionen US-Dollar – 4,3 % mehr als im Jahr 2021. Um dem entgegenzuwirken, haben Unternehmen verschiedene Möglichkeiten zur Integration von Sicherheitstools, aber jede hat ihre Nachteile. IDE-Plugins decken Risiken innerhalb des Entwickler-Workflows auf, sind jedoch schwer geräteübergreifend zu pflegen und bieten den Sicherheitsteams nur begrenzten Einblick. CI/CD-Pipeline-Scanner versorgen Sicherheitsteams mit konsolidierten Risikolisten, haben aber nur eine begrenzte Reichweite und bieten nicht den notwendigen Kontext, um die richtige Person für Maßnahmen zu identifizieren. Zwar trägt jeder Ansatz zur Sicherheit bei, aber das Fehlen einer umfassenden, einheitlichen Lösung macht es schwierig, eine 100-prozentige Abdeckung von Code-Risiken zu erreichen, und die dadurch entstehenden isolierten Arbeitsabläufe verlangsamen die Entwicklung erheblich.
Die Lösung von Arnica bietet eine vollständige Abdeckung durch native Integrationen in GitHub und Azure DevOps und ermöglicht Code-Risiko-Sicherheit über SAST, IAC, SCA und Paket-Reputationsscans von Drittanbietern. Arnica-Benutzer können diese Integrationen nun nutzen, um sich vor Code-Risiken zu schützen und gleichzeitig Entwicklern Echtzeit-Feedback und Ein-Klick-Minderungsmaßnahmen zur Verfügung zu stellen, um unterbrechungsfreie Entwicklungsabläufe zu gewährleisten. Arnica bietet Transparenz durch die Integration von Kommunikationstools wie Slack und Microsoft Teams. Wenn ein Risiko gefunden wird, ist Arnica in der Lage, das Problem explizit an die relevanten Parteien zu kommunizieren und Kontext zu liefern, um eine schnelle Lösung zu ermöglichen. Der Kontext beinhaltet, wo sich das Problem befindet, wer für die Lösung des Problems verantwortlich ist und Vorschläge zur Schadensbegrenzung.
Arnica nutzt native Integrationen in Quellcode-Verwaltungssysteme, um Risiken zu erkennen und auf sie zu reagieren, sobald ein Entwickler seinen Code veröffentlicht. Auf diese Weise müssen die Korrekturen der Entwickler nicht erst eine Build- und Test-Pipeline durchlaufen, um bekannte Schwachstellen zu beseitigen. Arnica führt den ersten „pipelinelosen“ Ansatz zur Identifizierung und Minderung von Code-Risiken ein, der es Sicherheitsteams ermöglicht, vom ersten Tag an ein vollständiges Sicherheitsscanning über die gesamte Software-Lieferkette hinweg einzurichten und aufrechtzuerhalten.
„Unter den gegenwärtigen Marktbedingungen suchen Unternehmen nach Sicherheitstools, die einen breiteren Abdeckungsbereich haben, im Gegensatz zu traditionellen Scannern, die einen begrenzten Umfang und eine begrenzte Sichtbarkeit haben“, sagt Nir Valtman, CEO und Gründer von Arnica.