»Crashtest Security ermöglicht es uns, Sicherheitsscans für Entwicklungsteams leicht zugänglich zu machen, um eine höhere Sicherheitsgrundlage zu schaffen.«
Said Moftakhar, IT Security & Privacy bei DATEV
Was DATEV gesucht hat
DATEV wollte nicht nur ein paar signifikante Releases abwickeln, sondern für alle Änderungen Sicherheitstests durchführen, indem automatisierte Sicherheitstests eingesetzt und in den Entwicklungsprozess eingebettet werden.
+ Mehr stufenweise Änderungen bewältigen
Anstatt einige wenige bedeutende Releases mit manuellen Pentests zu behandeln, sollten die Produktteams/Arbeitsgruppen in die Lage versetzt werden, Sicherheitstests für alle kleinen, inkrementellen Änderungen selbst durchzuführen.
+ Sicherheitstests automatisieren
Um effizienter zu werden, müssen die Sicherheitstests so gut wie möglich automatisiert werden, um eine solide Basis zu schaffen und dem Sicherheitsteam mehr Zeit zu geben, sich auf Themen zu konzentrieren, die eine gründliche Analyse erfordern.
+ Sicherheit in den Entwicklungsprozess einbetten
Eine „Linksverschiebung“ von Sicherheitsmaßnahmen, um Entwickler bereits bei der Entwicklung neuer Funktionen mit Hinweisen auf Sicherheitslücken zu unterstützen.
Wie hat Crashtest Security diese Herausforderungen gelöst?
+ Viele Änderungen bedeuten Pentesting, und Sicherheitsscans können nicht manuell durchgeführt werden. Die Produktteams haben die Möglichkeit, jedes Update und jede Änderung mit Crashtest Security zu testen.
+ Da grundlegende Schwachstellen bereits durch Crashtest Security abgedeckt sind, können sich Sicherheitsingenieure (intern) und Pentester (extern) auf Sicherheitsprobleme konzentrieren, die menschliche Aufmerksamkeit erfordern.
+ Automatisches Scannen innerhalb des Entwicklungsprozesses bedeutet, dass jedes Update und jedes Release gescannt werden kann, bevor es in Produktion geht. Die Entwickler werden bei Problemen schnell gewarnt und erhalten Hinweise zur Behebung, was zu effizienteren Entwicklungsprozessen führt.
DATEVs Nutzen
Wie profitiert DATEV also von der Nutzung von Crashtest Security?
+ Freisetzung von Ressourcen der Sicherheitsingenieure in den Entwicklungsteams durch schnellere Erkennung und Behebungshinweise.
+ Verringerung der Anzahl der jährlich erforderlichen manuellen Penetrationstests aufgrund des erhöhten Sicherheitsniveaus.
+ Durch die geringere Anzahl von Penetrationstests wird auch der damit verbundene Aufwand in den Entwicklungsteams und im zentralen Sicherheitsteam
Durch die kontinuierlichen Schwachstellenprüfungen mit der Crashtest Security Suite wird die Sicherheitsgrundlage von DATEV in den Intervallen zwischen den manuellen Pentests deutlich erhöht.
Warum Crashtest Security?
DATEV hat sich für Crashtest Security entschieden, um eine automatisierten Schwachstellenscanner für ihre Webanwendungen und APIs bereitzustellen.
Mit der Einführung von Crashtest Security zur automatischen Prüfung vor der Implementierung, arbeitet DATEV daran, Schwachstellen in einem früheren Stadium des Entwicklungsprozesses zu erkennen und sie zu beseitigen, bevor die Webanwendungen und APIs in der Produktion eingesetzt werden.
Wie DATEV Crashtest Security integriert hat
DATEV setzt Crashtest Security in ihren agilen Entwicklungsteams ein. Die Sicherheitsscanner werden in die CI/CD-Pipeline integriert und so konfiguriert, dass sie automatisch testen, entweder ereignisbasiert (z. B. vor jeder Veröffentlichung), nach einem Zeitplan oder auf Anforderung. Neue Teams werden in weniger als einem halben Tag eingebunden, so dass Sicherheitstests mühelos durchgeführt werden können und den Entwicklern sofort zur Verfügung stehen.
Über DATEV
DATEV ist eine der führenden Softwareentwicklungsgesellschaften in Deutschland, die sich auf die Entwicklung von Unternehmenssoftware für ihre Genossenschaftsmitglieder und deren Kunden konzentriert. Mit der Cloud-Strategie Datev ist eines der primären Ziele, die Automatisierung zu verbessern. Nach der Umstellung auf einen agilen Entwicklungsprozess war es an der Zeit, automatisierte Sicherheitstests in den Entwicklungsprozess zu integrieren.
