Dev-Security-Erweiterung um dynamisches Testing mit Dev-First-Methodik

Spannende News bei Snyk: Heute haben wir die Akquisition von Probely bekannt geben, einem rasant wachsenden Anbieter moderner Technologie für API-Security-Testing und DAST (Dynamic Application Security Testing). Durch diesem Neuzugang decken wir nun das gesamte Lösungsspektrum für Dev- und App-Security ab. Unsere Kunden erhalten dabei zudem ansatzlos Zugang zu einer breiteren Auswahl an entwicklerfreundlichen Testverfahren. 

Unternehmen aller Art und Größe setzen in zunehmendem Maße auf weborientierte Anwendungen. API-Testing und modernen DAST-Ansätze kommt daher eine umso wichtigere Rolle als Kernelement eines AppSec-Programms zu. Prägend ist dafür neben der „API Economy“ auch das neue Zeitalter, das mit generativer KI heraufzieht: Denn APIs öffnen die Türen zu Large Language Models (LLMs) und damit auch in Systeme. Für deren Absicherung wird API- und Web-App-Testing künftig also noch weiter in den Mittelpunkt rücken. 

Logische Erweiterung des Snyk Portfolios – solange es Dev-First bleibt

Dass wir als etablierter AppSec-Marktführer nun auch die Bereiche API-Security-Testing und DAST erschließen, mag zunächst einmal wenig überraschen. Zur Diskussion hatte dieser Schritt schon länger bei uns gestanden, doch immer wieder mit dem Ergebnis, dass er nicht das Richtige für uns ist. Denn konventionelle Lösungen für dynamisches App-/API-Testing greifen im SDLC häufig „weiter rechts“. Dies steht jedoch diametral entgegen unserer Philosophie, einen Shift Left solcher Kontrollen möglich zu machen, damit sie entwicklerseitig umsetzbar werden. Mit unserem Mindset, Security nach Developer-First-Methodik agil in die Workflows der Entwickler einzupassen, war dies also kaum vereinbar. Durch Partnerschaften mit DAST-Anbietern und Integrationen von entsprechenden Lösungen sind wir zwar auf Kunden eingegangen, die diese Testkategorie zu Recht in ihr AppSec-Programm aufnehmen wollten. Im Allgemeinen sahen wir darin aber einen Widerspruch zu unserer Mission und DNA.

Eine Haltung, die sich inzwischen geändert hat. Grund hierfür ist erstens die Entwicklung in Richtung moderner DAST-Lösungen, die entsprechende Tests durch CLI-gestützte Integration mit CI/CD-Pipelines in eine frühere Phase des Dev-Prozesses verlagern. Hinzu kommt unsere eigene Sichtweise bezüglich der Rolle von DAST im Kontext von Developer Security. In der Vergangenheit maßen wir DAST keine Relevanz für diesen Ansatz bei: Es galt in erster Linie als „Shift Right“-Tool, das unseren Anspruch von „Developer-First“ nicht erfüllte. Seit einigen Jahren verlagern wir den Fokus von Developer Security jedoch stärker in Richtung der Zusammenarbeit zwischen Entwickler- und Security-Teams. Aus dieser Perspektive ist ein Tool für dynamisches Security-Testing, das sich in Dev-First-Anforderungen einpasst, ganz klar auf Linie mit unserer Mission.

Ein weiterer wichtiger Faktor, der uns nicht nur zum Eintritt in diese Märkte, sondern auch dazu bewog, diesen Weg über die Akquisition von Probely zu gehen, ist die bereits erwähnte Rolle von APIs zur Umsetzung LLM-gestützter Anwendungen in Zeiten generativer KI.  Um die immer höher entwickelten KI-Modelle in Anwendungen integrieren zu können, braucht es APIs zum Zugriff auf Daten und deren Verarbeitung. Aus dieser engen Verzahnung entstehen neue Angriffsvektoren, die eine gezielte Absicherung von APIs vor potenziellen Bedrohungen unerlässlich machen.  Logische Konsequenz war es daher, unser Portfolio um Security-Tests für APIs erweitern. So können wir unsere Kunden besser dabei unterstützen, LLM-basierte Bedrohungen aufzuspüren, ihre Modelle und Daten zu schützen und KI-gestützte Anwendungen mit größerer Sicherheit zu entwickeln.

Es wurde also Zeit, API- und dynamisches Web-App-Testing enger in das Modell von Developer Security zu integrieren und so die Hürden der Vergangenheit zu überwinden. Was es hierzu brauchte, war nur noch die richtige Technologie.

DAST mit echtem Dev-Fokus

Unser erster Kontakt mit dem Team von Probely und seiner Technologie kam zustande, als wir selbst eine Lösung für API- und dynamisches App-Testing benötigten. Unser Product Security Team war dabei, uns auf die FedRAMP-Autorisierung vorzubereiten. Hierfür konnte es zwar unsere eigenen Lösungen nutzen, um App-Sec-Probleme in der Pre-Deployment-Phase zu adressieren. Der Audit erforderte jedoch explizit auch dynamische Tests. Nachdem wir einige konventionelle DAST-Tools evaluiert hatten, warfen wir auch einen Blick auf Probely. Und waren direkt begeistert: Die Testergebnisse waren beeindruckend genau, das Tool präsentierte sich benutzerfreundlich. So erzeugte es etwa auch weniger Rauschen durch False Positives, mit denen sich unser Product Security Team würde aufhalten müssen. 

Im Zuge dessen lernten wir auch das Team von Probely kennen. Dabei wurde klar, dass hinter den Ergebnissen unserer Evaluierung die Philosophie und Roadmap eines Anbieters stand, der bei API- und dynamischem Web-Testing echten Dev-First-Prinzipien folgte. 

Das Team hatte erkannt, dass der Wert einer Lösung mit geringer Benutzerresonanz allenfalls gering ist. So verfolgte es von Anfang an die Prämisse, mit seiner Technologie nur minimal in die Workflows von Entwicklern einzugreifen. Zentral sind hierfür drei Aspekte: Probely weist mit rund 0,1 % die branchenweit niedrigste Falsch-Positiv-Rate auf. Entwickler müssen also nur dort Fixings ansetzen, wo ein echtes Sicherheitsrisiko für ihre Anwendung besteht. Zudem ist die Lösung enorm einfach zu implementieren und zu bedienen. Die Einarbeitung in neue Toolsets und der Einsatz dynamischer Tests ist für Entwickler also mit nur geringer Komplexität verbunden. Zudem setzt Probely auf ein Dev-Modell nach API-First-Methodik, gefolgt von der Einbindung von CLI-Features, mit denen sich DAST-Scans innerhalb der CI/CD-Pipelines automatisieren lassen. Stark ist auch die API-gestützte Möglichkeit zur Integration etwa in Issue-Tracking-Lösungen für eine noch nahtlosere Einpassung in bestehende Dev-Workflows.

Im Rahmen des Due-Diligence-Prozesses zogen wir unseren Partner für sicheres Design zu Rate, außerdem Kunden sowie einige der weltweit größten Finanzinstitute und Einzelhändler. Im Gespräch mit Kunden von Snyk wie auch von Probely war dabei klar zu vernehmen: Mit der unkomplizierten Umsetzung der AppSec-Features von Probely auf Enterprise-Niveau gemäß den Dev-First-Grundsätzen, für die Snyk steht, hatten wir einen echten Nerv getroffen.

Mit der Übernahme eines Tech-Unternehmens holt man sich natürlich mehr ins Boot als nur die Technologie selbst. Von der waren wir bei Probely ohnehin begeistert, sowohl vom aktuellen als auch vom künftigen Potenzial. Gleiches galt aber auch für das Team dahinter. Umso mehr freuen wir uns, es in nun die Snyk Familie aufzunehmen. Auch die beiden Gründer von Probely kennen Security-Tools als Entwickler aus eigener Erfahrung. Das mit der Technologie mögliche dynamische Testing erfolgt auch genau deshalb nach Dev-First-Prinzipien. Entwicklung und Security sollten Hand in Hand gehen können – mit einem Tool, das Anwendungssicherheit so umsetzbar macht, wie die beiden Gründer es in ihrer aktiven Zeit als Entwickler vermisst hatten. 

Nächste Station auf dem Weg zu umfassendem AppRisk-Management

Untersucht hatten wir das Marktpotenzial von DAST- und API-Testing zudem mit Blick darauf, wie es auf lange Sicht zu unser Mission und unserem Zielfokus passen würde. Aus Gesprächen mit Kunden geht klar hervor, dass es bei sich bei DAST letzten Endes genauso verhält wie mit SAST/SCA: Entwickler in die Lage versetzen, erkannte Probleme effizient zu beheben, und für Security-Teams gilt es, das Ganze anhand von Policies und in zunehmendem Maße auch risikobasiert zu steuern. Und was API-Security anbetrifft, so nimmt ihre Relevanz auf der AppSec-Agenda ohnehin nur weiter zu. Unsere Mission von gleichermaßen schneller wie sicherer Entwicklung stünde also eher auf tönernen Füßen, wenn wir Visibility und Abdeckung für diese bereits jetzt so ungemein wichtigen Bereiche außen vor ließen. 

Wie einige unserer Leser sicher wissen, haben wir voriges Jahr Snyk AppRisk als Fundament für anwendungsspezifische und risikobasierte Priorisierung vorgestellt. Die zentrale Sicht auf Komponenten und Security-Abdeckung im gesamten Anwendungsbestand, die damit möglich wird, stieß am Markt auf beachtliche Resonanz. Probely bereichert dies um wichtige Features für Discovery und Abdeckung, die dasselbe für Anwendungskomponenten ermöglichen, für die DAST-Scans relevant sind, so z. B. Single Page Apps, APIs und Web-Anwendungen. Auch in diesem Kontext braucht es Klarheit dazu, welche Komponenten vorhanden sind. Und genauso gilt es, das Risikopotenzial der Produktionsversionen dieser Komponenten zu ermitteln und im Blick zu halten – ganz analog zu dem also, was in der Pre-Deployment-Phase durch SAST und SCA erreicht wird.

Zu bemerken ist zudem die Erweiterung unseres Portfolios um External Attack Surface Management (EASM) im Zuge dieser Akquisition. ​Unabdingbar ist im Kontext eines AppSec-Programms bekanntlich ein klares Verständnis der eigenen Angriffsfläche – allerdings auch umso schwerer zu gewinnen. Mit dem Launch von Discovery schafft Probely dabei jedoch seit Anfang des Jahres Abhilfe. Damit ist es möglich, den API- und Web-App-Bestand zu ermitteln, zu verwalten und zu priorisieren, um so die externe Angriffsfläche in vollem Umfang aufzudecken. Umgesetzt wird dies durch eine automatische, mit minimalen Eingriffen verbundene Erkennung der Services und Anwendungen, die innerhalb ihrer Infrastruktur ausgeführt werden.  

In der Breite, in der Probely zunehmende drängende Problemstellungen adressiert, sehen wir enormes Mehrwertpotenzial für unsere Kunden. Mit ihrer fortschreitenden Integration in die Snyk Plattform wird die Technologie zu einigen unserer wichtigsten Fokusthemen beitragen – von der branchenweit präzisesten Risikopriorisierung bis hin zu ganzheitlichem AppRisk-Management. 

Snyk + Probely: Sofortiger Mehrwert, spannender Ausblick

Für die Integration des neuen Feature-Sets in unser Portfolio ist heute der Startschuss gefallen. Dabei sehen wir bereits jetzt enorme Synergien, von denen Sie bei der Integration von DAST in Ihre AppSec-Programme ab sofort profitieren können. Doch das ist erst der Anfang einer DAST-Story in Snyk, die neue Potenziale für Sie eröffnen wird – wir freuen uns bereits darauf, sie gemeinsam mit Ihnen auszuloten.

Wenn Sie möchten, können Sie damit auch direkt in diesem Webinar beginnen, in dem ich diesen spannenden Meilenstein von Snyk gemeinsam mit Probely CEO Nuno Loureiro beleuchte. Neben der zunehmenden Bedeutung von API-Security-Testing für unsere Kunden gehen wir darin auch auf die Frage ein, was modernes Dev-First-DAST konkret bedeutet, Thema sind dabei auch die wachsenden Herausforderungen rund um Web-App- und API-Security und die Potenziale, die risikobasierte Priorisierung bei der Bewältigung bietet.