Business-IT
03.03.2021
Checkmarx

Neue Scanning-Lösung für Infrastructure as Code

CodeCodeCode
Valery Brozhinsky / shutterstock.com
Die auf Open-Source basierende IaC-Scan-Engine soll Entwicklern ermöglichen Konfigurationsprobleme zu identifizieren und zu beheben.
Checkmarx ist Anbieter im Bereich Software-Security für DevOps und bietet mit KICS (Keeping Infrastructure as Code Secure) eine neue, Open-Source-basierte Lösung für statische Analysen, die es Entwicklern ermöglichen soll, Infrastructure-as-Code (IaC) sicher zu entwickeln. Mit KICS baut Checkmarx sein AST-Portfolio weiter aus und stellt nun eine durchgängige Security-Plattform für eigenentwickelten Code, Open-Source-Komponenten und kritische Infrastrukturen in klassischen und Cloud-nativen Anwendungen bereit.
IaC hat in den vergangenen Jahren stetig an Bedeutung gewonnen: Immer mehr Unternehmen verlagern ihre Anwendungen in die Cloud und sind auf die rasche und skalierbare Bereitstellung Cloud-basierter Infrastrukturen angewiesen. Den vielen Vorzügen von IaC stehen aber auch signifikante Risiken gegenüber, mit denen Entwickler zu kämpfen haben – etwa mit Blick auf die Sicherheit, die Compliance und die Konfiguration der Umgebungen. Schon heute sind Probleme, die auf Konfigurations- und Bereitstellungsfehler zurückgehen, die zweithäufigste Ursache erfolgreicher Breaches.
KICS erkennt Schwachstellen, hard-gecodete Schlüssel und Passwörter, Compliance-Verstöße und Konfigurationsfehler automatisch zu Beginn des IaC-Build-Zyklus und macht es Entwicklern leicht, diese Probleme zu korrigieren, bevor der Build in die Produktivumgebung geht. Aufsetzend auf die branchenweit umfangreichste IaC-Scan-Engine unterstützt KICS führende IaC-Technologien wie Terraform, Kubernetes, Docker, AWS CloudFormation und Ansible. Darüber hinaus bietet KICS mehr als 1.200 hochgradig individualisierbare und anpassbare Queries, die mehr als zwölf Kategorien abdecken – von Verschlüsselung und Schlüssel-Management bis hin zur Port-Security im Netzwerk.
Wichtige Features und Vorteile von KICS im Überblick:
  • Integrierte Erweiterbarkeit: KICS bietet die nach eigenen Aussagen größte 'Query-Library' auf dem Markt, die sich zudem flexibel individualisieren und anpassen lässt. Dank der robusten, aber einfachen Architektur soll KICS zudem erlauben, neue IaC-Tools unkompliziert und schnell einzubinden.
  • Aus der Community, für die Community: Sowohl bei der Scan-Engine als auch bei den hinterlegten Queries handelt es sich um Open-Source-Projekte, die kostenfrei und transparent für eine breite Community von tausenden von Security- und DevOps-Experten bereitstehen. Im Zusammenspiel mit Checkmarx' eigenen Experten, die kontinuierlich neue Features und Updates bereitstellen, entwickelt sich KICS rasant weiter.
  • Nahtlose CI/CD-Integration: KICS lässt sich flexibel in bestehende CI/CD-Pipelines wie GitHub Actions und GitLab CI integrieren. So können die Entwickler ihre IaC-Projekte auf Schwachstellen und Konfigurationsfehler hin überwachen, ohne das gewohnte Toolset zu verlassen.
KICS ist kostenlos verfügbar. Mehr dazu finden Sie unter kics.io.

mehr zum Thema