MENU Schließen
Schließen

TÜV Süd bestätigt: Enginsight secured by design

Als Hersteller von IT-Security-Software fühlen wir uns in besonderem Maße verpflichtet, in der Programmierung der Software dem Aspekt Sicherheit den höchsten Stellenwert einzuräumen. Deshalb haben wir unsere Software dem TÜV Süd zu einem Code Review vorgelegt. Das Ergebnis bestätigt, dass wir auf dem richtigen Weg sind.

Als Hersteller von IT-Security-Software fühlen wir uns in besonderem Maße verpflichtet, in der Programmierung der Software dem Aspekt Sicherheit den höchsten Stellenwert einzuräumen. Deshalb haben wir uns dazu entschieden, die Software komplett selbst in Jena zu entwickeln und keine Development-Aufgaben auszulagern oder Drittsoftware einzubinden. So haben wir stets alle Zügel in der Hand und können Security by Design nicht nur behaupten, sondern täglich leben.

Dass wir mit unserer Strategie auf dem richtigen Weg sind, hat uns jetzt in einem Code Review der TÜV Süd bestätigt. Ziel der Überprüfung des Quellcodes war, Schwachstellen in der Implementierung aufzudecken, die potenziell von Angreifern ausgenutzt werden können und so die Sicherheit der Anwendung gefährden. Der TÜV Süd konnte in den über 100.000 Zeilen Code unserer API keine kritischen oder als high klassifizierten Sicherheitslücken feststellt werden.

In ihrem ausführlichen Reporting gab uns der TÜV Süd lediglich vier Hinweise zur Überprüfung, die als medium klassifiziert wurden.

Die vom TÜV überprüfte API ist unser zentrales und wichtigstes Softwaremodul, über das die gesamte Kommunikation aller Module abgewickelt wird.

Security-Scores

Bei der Bewertung griff der TÜV Süd auf die folgenden Rankingstufen zurück:

RangeBewertungBeschreibung
9.0 – 10.0CriticalDiese Arten von Schwachstellen sollten sofort auf ihre Auswirkungen auf das Unternehmen überprüft werden. In der Regel deutet diese Einstufung darauf hin, dass eine Schwachstelle existiert und leicht dazu benutzt werden könnte, die Vertraulichkeit, Integrität und/oder Verfügbarkeit ernsthaft zu beeinträchtigen.
7.0 – 8.9HighDiese Arten von Schwachstellen müssen kurzfristig auf ihre Auswirkungen auf das Unternehmen geprüft werden. Eine Bewertung in diesem Bereich deutet darauf hin, dass eine Schwachstelle mit geringer bis mittlerer Komplexität ausgenutzt werden könnte und eine mäßige oder hohe Auswirkung auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit haben könnte.
4.0 – 6.9MediumDiese Schwachstellen sollten auch hinsichtlich ihrer Auswirkungen auf das Geschäft bewertet werden, aber die Bewertung zeigt, dass diese Art von Schwachstellen möglicherweise nur mit erhöhtem Aufwand ausgenutzt werden kann oder nur geringe Auswirkungen auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit hat.
0.1 – 3.9LowDiese Schwachstellen sollten ebenfalls evaluiert werden, aber aus der Evaluierung der Basismerkmale geht hervor, dass die Ausnutzung dieser Schwachstellen wahrscheinlich nur geringe negative Auswirkungen auf die Vertraulichkeit, Integrität und/oder Verfügbarkeit hat.

Testumgebung

Bei ihrem Code Review orientierte sich der TÜV Süd an den vom CREST 2007 herausgegebenen Richtlinien „A Guide for Running an Effective Penetration Testing Programme“. Fundiert sind die Testmethoden und Ergebnisse durch die von BSI, OWASP, OSSTMM, NIST, PCI sowie SWIFT veröffentlichen Sicherheitsstandards.

Zum Einsatz kamen die folgenden Tools:

ESLint with security pluginsJavaScript linter
SonarQubeStatic application security testing (SAST) tool for various languages and frameworks
semgrepStatic application security testing (SAST) tool for various languages and frameworks
grauditStatic application security testing (SAST) tool for various languages and frameworks
ShiftLeft ScanStatic application security testing (SAST) tool for various languages and frameworks
NodeJsScanStatic application security testing (SAST) tool for Node.js applications
npm auditSoftware composition analysis (SCA) tool for Javas-cript applications
Kali LinuxVarious tools from Kali Linux distribution
TÜV SÜD proprietary scripts 
Weitere Beiträge im Enginsight Blog
Das Enginsight-Team auf der it-sa 2023

it-sa 2023: Es war magisch

Cybar? Aber sicher! Unter dem Motto „Entdecke die Enginsight-Magie an der Cybar“ waren wir angetreten, um eine weitere it-sa unvergesslich zu machen. Das positive Feedback

Enginsight-Team auf der it-sa 2022

Auf zur it-sa 2023 in Nürnberg

Messe & mehr Vom 10. – 12. Oktober 2023 öffnen wieder die Türen der größten IT-Security-Fachmesse in Europa. Wir sind dabei, mit dem größten Stand,

Enginsight Logo