Forrester-Review-Ergebnis als Infografik

Darum ist das frühe Evaluieren von Softwarefehlern so wichtig

In Zeiten von unsicheren Software-Applikationen, die aufgrund von Schwachstellen unerwünschten Eindringlingen wie Hackern zahlreiche Angriffspunkte bieten, wird der Sicherheitscheck von selbst programmierten Anwendungen immer wichtiger. Hierbei werden Firmen von speziellen Tools wie der CAST Application Intelligence Platform (AIP) unterstützt, die innerhalb der gesamten Entwicklungsphase eingesetzt werden können.

Das Ganze nennt sich Static Application Security Testing (SAST) und ist im besten Fall Teil des Software Development Life Cycle (SDLC), was im Deutschen für Software-Entwicklungs-Lebenszyklus steht. Dabei kommt es vor allem darauf an, die entsprechenden SAST-Tools in einem möglichst frühen Entwicklungsstadium der Anwendungssoftware einzusetzen. Denn das erlaubt ein rasches Aufspüren von vorhandenen Schwachstellen und Programmierfehlern, die die Sicherheit von Applikationen gefährden können.

SAST-Tools wie die CAST AIP im Fokus von Sicherheitsexperten und CIOs

Daher verwundert es nicht, dass immer mehr Sicherheitsverantwortliche größerer Firmen die Implementierung von SAST-Werkzeugen in den Software-Entwicklungszyklus entweder bereits realisiert haben oder planen, dies zu tun. Zu diesem Ergebnis kommt zumindest das Marktforschungsinstitut Forrester Research in seiner Umfrage mit dem Titel „Forrester Data Global Business Technographics Security Survey, 2017“.

Dabei stellte sich nämlich heraus, dass schon zahlreiche Unternehmen SAST-Tools einsetzen oder planen dies zu tun. Etwas unverständlich dabei ist allerdings, warum sie damit in vielen Fällen erst zu einem recht späten Zeitpunkt innerhalb des Entwicklungszyklus‘ beginnen, und zwar erst während der Test- bzw. Produktionsphase. Dabei ist das Evaluieren von möglichen Schwachstellen zu einem früheren Zeitpunkt sehr viel sinnvoller.

Forrester-Umfrage zur Implementierung von SAST-Tools

10 Probanden und wichtige Erkenntnisse des Forrester SAST-Reviews

Dasselbe Unternehmen hat ebenfalls erst kürzlich eine umfangreiche Marktbetrachtung samt Funktionstest veröffentlicht, in dem es die zehn bekanntesten SAST-Tools unter die Lupe nimmt. Zu diesem erlesenen Feld gehören unter anderem CA Veracode, CAST, Ceckmarx, Micro Focus, Synopsys und andere Probanden. Der Name diese Studie lautet The Forrester Wave: Static Application Security Testing, Q4 2017.

Download-Tipp: Die detaillierte Auswertung der Studie steht mithilfe einer kurzen Registrierung als Download auf der CAST-Webseite zu Verfügung.

Wichtig dabei war, ob die SAST-Tools Dinge wie das Scannen von Quellcode beherrschen, und das auf möglichst breiter Programmiersprachen-Basis, inkrementelle Scans unterstützen, Meilensteine vorsehen sowie die Integration des SAST-Tools innerhalb der Entwicklungsumgebung ermöglichen, und das alles „Out of the Box“, also ab Werk quasi. Darüber hinaus wurde die aktuelle Vermarktungsstrategie sowie der Marktanteil des jeweiligen SAST-Tools betrachtet und bewertet. Herausgekommen bei dieser Evaluierung sind zahlreiche interessante Erkenntnisse:

Die CAST AIP punktet vor allem in Spezialdisziplinen

Hinter den „Platzhirschen“ Synopsys und CA Veracode tummeln sich drei ernstzunehmende Alternativen, die ihre Stärken vor allem in speziellen Bereichen ausspielen. Im Falle der CAST AIP betrifft dies unter anderem den breiten Support an Programmiersprachen, weswegen die CAST AIP eine sehr gute Option für Unternehmen darstellt, in denen Sprachen wie Javascript, .NET, Java, Python, C++, etc. zum Einsatz kommen.

Aber auch im Bereich „Akkuratesse“ kann die CAST AIP punkten. Hiermit kann der „Gesundheitszustand“ einer Anwendung ermittelt werden, und das runter bis auf Systemebene. Dabei wird vor allem die Qualität der einzelnen Softwarekomponenten sowie deren Verbindungen zueinander gemessen und bewertet.

CAST Application Intelligence Platform (AIP)

Bemerkenswert finden die Marktanalysten von Forrester auch das Dashboard der CAST AIP, mit dessen Hilfe Sicherheitsexperten, Software-Entwickler und CIOs die Qualitätsmerkmale ihrer Software auf einen Blick visualisieren können. Dazu gehören Kriterien wie Robustheit, Effizienz, Anpassbarkeit und Sicherheit der Anwendung. Aus diesen und weiteren Gründen kommt Forrester zu dem Schluss, dass die CAST AIP im Segment „Strong Performers“ anzusiedeln ist, und das wegen einer klaren Marktstrategie und einem soliden Produkt, mit dem sich Schwachstellen innerhalb von Quellcode ausfindig machen lassen.

Forrester-Review-Ergebnis als Infografik

Disclaimer: Dieser Blogbeitrag ist im Auftrag der Firma CAST entstanden, die mir bei der Ausgestaltung und Formulierung nahezu freie Hand lässt.

Infodiagramm zu Kony Mobile Fabric

Studie bescheinigt Kony, Inc. Bestnoten in Sachen „Mobile Infrastructure Services“ (MIS)

Disclaimer: Dieser Blogbeitrag ist im Auftrag von und in Zusammenarbeit mit Kony, Inc. entstanden.

Regelmäßig nimmt sich das Marktforschungsunternehmen Forrester Research diverse Unternehmen zur Brust, um deren Leistungsfähigkeit in einem ausgewählten Bereich zu untersuchen. Ganz aktuell hat das US-Unternehmen das Ergebnis einer Studie veröffentlicht, die im Mai 2015 durchgeführt wurde. Thema: Mobile Infrastructure Services (MIS), also Dienstleister, die in Sachen mobile Apps und Anwendungen ein Produkt oder eine Lösung im Portfolio haben.

Zu den Kandidaten, die im Rahmen dieser Untersuchung mit dem Namen „Forrester Wave“ getestet wurden, zählen: AnyPresence, Appcelerator, IBM, Kinvey, Microsoft, MobileSmith, Oracle, Red Hat, SAP – und Kony. Um es vorweg zu nehmen: Forrester ist von Kony’s Angebot „MobileFabric“ so angetan, dass sie es von allen teilnehmenden Unternehmen innerhalb der Kategorie „Mobile Middleware“ am besten bewertet hat. Damit zählt Kony neben Red Hat und AnyPresence laut Forrester Research zu den führenden Unternehmen in ihrem Segment.

Doch worauf ist diese Bewertung zurückzuführen? Nun, hierfür hat Forrester zahlreiche Kriterien zurate gezogen, in denen Kony gute bis sehr gute Ergebnisse erzielen konnte. Dazu gehören im Einzelnen:

  • das aktuelle Angebot der getesteten Unternehmen
  • die jeweilige Firmenstrategie der Probanden
  • und deren Marktpräsenz.

In allen drei Bereichen konnte Kony sehr gut abschneiden, wie die folgenden Grafik belegt:

Bemerkenswert an dieser Auswertung ist die Tatsache, dass Kony in allen drei Hauptkategorien bis auf die strategische Ausrichtung am besten von allen zehn Probanden abschneidet. Zudem lohnt ein genaueres Beäugen der Subkategorien „Identify and Security Services“, „Data and Offline Access“ und „App management“. Hier kommt Kony auf die volle Punktzahl. Das bewertet Forrester wie folgt:

Identify and Security Services: Die Verbindung von einzelnen Anwender-Identitäten mit dem Unternehmenssystem stellt ein wesentliches Kriterium dar. Dabei muss der Authentifizierungsdienst auf einen bestehenden Directory Service aufsetzen können und gleichzeitig eine möglichst simple Authentifizierungsmethode bieten.

Offline Data Sync: Das Synchronisieren von Offline-Daten erfordert im besten Fall eine Store-and-Forward-Architektur, die das Auflösen von Datenkonflikten beherrscht.

App Management: Für das optimale App-Management müssen mobile Anwendungen in öffentlichen und Unternehmens-Appstores bereitgestellt werden können. Darüber hinaus sollten Feedback- und App-Management-Mechanismen zu Verfügung stehen – für das vollständige Abbilden eines App-Lebenszyklus‘.

Doch warum stehen Firmen wie Kony mit ihrer Backend-Lösung MobileFabric bei immer mehr Unternehmen so hoch im Kurs? Nun, auch hierfür hat Forrester die passenden Antwort parat.

Der MIS-Markt wächst so schnell, da Frontend-Entwickler von mobilen Anwendungen ihre Zeit nicht mit dem Entwickeln eigener Back-End-Systeme verschwenden wollen. Sie konzentrieren sich lieber auf das Konzipieren und Programmieren toller und nützlicher Apps .

Darüber hinaus beobachtet Forrester eine Veränderung am Markt für Middleware-, Backend-as-a-Service- und API-Management-Systeme: Die erfolgreichen Lösungen verfolgen immer mehr ganzheitliche Ansätze, die nicht nur eine eine mobile Infrastruktur abbilden, sondern auch Feedback-Mechanismen, Analysetools und Mobile App Management bieten.

Und wie bewertet Forrester Research Kony, Inc. neben all den messbaren Kriterien?

Kony zählt zu den Marktführern in Sachen Mobile Infrastructure Services, da sie es während der letzten Jahren erfolgreich geschafft hat, die  KonyOne Mobile Middleware in separate Front-End und Back-End Tools zu überführen. Das zeigt sich sehr deutlich innerhalb der Kategorien „Zugriff auf Unternehmensdaten“ und „Zuverlässige Offline-Daten“ gepaart mit überzeugenden Front-End-Werkzeugen und sehr guten Feedback- und Authentifizierungs-Tools. In diesem Kontext setzt das Werkzeug „Kony Visualizer“ einen echten Standard, da es als Unternehmens-Middleware und als intuitiv zu nutzendes Design-Tool fungiert.

Zusammengefasst kann man also sagen, dass Kony im Konzert der Großen seine Partitur sehr gut beherrscht und man noch einiges erwarten darf vom Unternehmen aus Orlando, Florida.