Ab sofort als Open Beta: Neuerungen bei Reporting-Features
9. November 2022
0 Min. LesezeitSpannende News: Snyk geht mit neuen und optimierten Reporting-Features an den Start, die ab sofort als Open Beta verfügbar sind. Dev- und Security-Teams erhalten damit noch einfachere, umfassendere und detailliertere Einblicke in Risikoherde über alle ihre Anwendungen hinweg.
Der Release markiert den ersten Meilenstein unserer Investitionen in eine sukzessive Erweiterung und Optimierung der Daten-Services unserer Plattform, in deren Rahmen wir Anfang des Jahres die Akquisition des Data-Analytics-Spezialisten TopCoat abgeschlossen haben. Hierdurch werden neue Features für Security-Reporting möglich, mit denen wir datengestützte Analytics fortan noch umfassender in unsere Plattform einbinden – in absehbarer Zukunft werden wir hier noch weitere spannende Neuerungen bekannt geben.
Verfügbar sind die neuen Features für Kunden der Business- und Enterprise-Variante unserer Plattform. Sie können über die Snyk UI unter Settings > Snyk Preview aktiviert werden.
Starke Security braucht umfassende Visibility
Auf dem Weg zu einer DevSecOps-Kultur müssen sämtliche Teams, die an der Entwicklung von Anwendungen beteiligt sind, auch bei ihrer Absicherung an einem Strang ziehen. Dies ist jedoch nur schwer umsetzbar, wenn es an der nötigen Einsicht in damit verbundene Sicherheitsrisiken fehlt. Denn ohne sie können Security-Teams und -Leader das Risikoprofil des Unternehmens nicht zuverlässig beurteilen und somit auch keine effektive Priorisierung von Problempunkten vornehmen, die das Dev-Team vorrangig angehen soll. Entsprechend unkoordiniert agiert es dann bei der Behebung, verschwendet also letztlich wertvolle Zeit, die dann in der Feature-Entwicklung fehlt. Dem Vertrauen in Security-Prozesse schadet dies tendenziell eher.
Andererseits liegt aber auch gerade in dieser Transparenz die große Herausforderung: Modernen cloudnativen Anwendungen liegen neben proprietärem Code diverse weitere Komponenten wie Open-Source-Pakete, Container und Infrastructure as Code zugrunde, die allesamt mit spezifischen Risiken einhergehen. Konventionelle Security-Tools, die diese Komponenten auf Schwachstellen scannen, greifen jedoch häufig nicht durchgängig – mit der Folge von blinden Flecken oder fragmentierten Reporting-Daten. Hinzu kommt, dass die Datenausgabe häufig nur schwer handlebar, nur kompliziert nachzuvollziehen und wenig praxisbezogen nutzbar ist.
Snyk Reporting auf einem neuen Niveau
Snyk dagegen vermittelt Dev- und Security-Teams mit den jüngsten Neuerungen noch tiefergehende Visibility und damit alles Nötige, um im datenfundierten Austausch als Einheit mit geteilten Verantwortlichkeiten zu agieren und Risikoherde so effektiv zu adressieren.
Möglich wird dies durch differenzierte Reporting-Features, die optimale Performance und Verlässlichkeit mit umfassender Abdeckung über sämtliche Komponenten moderner Anwendungen hinweg vereinen. All dies kompakt an zentraler Stelle, mit Datenzugriff differenziert nach Benutzerrollen und einer herausragenden, absolut unkomplizierten UX.
Die Neuerungen umfassen:
Identifikation von und Reporting zu den schwerwiegendsten Risiken und Definition von Prioritäten zur Behebung
Bestimmung von Typ, Anzahl und Schweregrad erkannter Schwachstellen und davon betroffenen Anwendungen
Tracking von Fixing-Taktung und -Fortschritt
Ansicht für langfristige Trends und übergeordnete Metrics
Aufbereitung von Trends für Execs, Board-Mitglieder, Kunden und Partner sowie Kommunikation von Prioritäten, Fortschritten und Risiken an diese
Im Folgenden ein näherer Blick auf die wichtigsten Neuerungen, die im Rahmen der Open Beta verfügbar sind.
Aufruf, Analyse und Weitergabe von Reporting-Daten ohne Umschweife
Snyk steht seit jeher für Developer-Security, die Sicherheit einfach umsetzbar macht, ohne die Entwicklung auszubremsen. Ganz in diesem Sinne haben wir die neuen Reporting-Features so ausgestaltet, dass sich Visibility für Sicherheitsrisiken nun noch unkomplizierter und nahtloser in die Workflows der Benutzer einpasst.
Filtern und sortieren von Ergebnissen
Anhand flexibler Möglichkeiten zur Anpassung der Reports lassen sich genau die Security-Insights eingrenzen, die für den jeweiligen Use Case von Bedeutung sind.
Dies durch Sortierung der Spalten nach spezifischen Kategorien oder auch anhand der neuen Filter, mittels derer die Ergebnisse nun noch granularer etwa
nach Toolsets wie Snyk Code eingegrenzt werden können, worauf wir im weiteren Verlauf noch näher eingehen werden. All dies macht es enorm einfach, spezifische Probleme schnell zu isolieren. So können Sie etwa nur die innerhalb Ihrer Open-Source-Abhängigkeiten festgestellten Schwachstellen einsehen, oder auch nur solche in Infrastructure as Code.
Filtern können Sie dabei nun nach Paketname, CVE-Nummer, letztem Datum der Einführung und Behebung einer Schwachstelle, Projekt-Tags und -Attributen sowie weiteren Kategorien.
Probleme in einzelnen Projekten finden Sie so schnell, einfach und punktgenau. Deutlich macht dies das nachfolgende Beispiel, bei dem wir die Log4Shell-Schwachstelle in drei kritischen Projekten anhand der Filterfunktionen isoliert haben.
Weitergabe von Reports
Optimiert wurden auch die Sharing-Features. So werden aktuell angewendete Filter nun in der URL beibehalten, über die Schaltfläche Copy URL oben rechts auf der Seite können Sie sie einfach kopieren und an Teammitglieder weitergeben. Zur unkomplizierten Übermittlung an Business-Stakeholder lassen sich die Reports zudem im PDF- oder CSV-Format exportieren.
Sämtliche Risikopotenziale für Ihre Anwendungen zentral in einer Ansicht
Wie bereits erwähnt, bilden alle einer Anwendung zugrunde liegenden Komponenten einen potenziellen Risikovektor. Da die neuen Reporting-Features auch Snyk Code abdecken, lassen sich nun auch Schwachstellen in proprietärem, von Ihren Entwicklern geschriebenem Code erfassen. In Verbindung mit Tracking und Reporting zu Problemen in Open-Source-Abhängigkeiten, Container- und IaC-Konfigurationen sind also sämtliche potenziellen Problempunkte an zentraler Stelle einsehbar und damit deutlich vereinfachte Reporting-Workflows möglich.
Klarheit für diverse Security-Kontexte
Ganz gleich, ob Sie Fixing-Fortschritte teamübergreifend vergleichen, die Erfüllung von Coding-Prinzipien gemäß der OWASP Top 10 validieren, auf kritische Zero-Day-Schwachstellen reagieren oder eine Übersicht Ihrer Arbeit für das Leadership-Team zusammenstellen möchten, mit unseren neuen Reporting-Features erhalten Sie stets genau die Daten und Analysen, die Sie für Ihre jeweiligen Anforderungen benötigen.
Im Rahmen der Neuerungen stehen zudem Reports für eine Vielzahl von Use Cases out of the box zur Verfügung.
Detail-Insights zu erkannten Problemen
Sämtliche von Snyk innerhalb Ihrer Anwendungen festgestellten Problempunkte sowie zugehörige Details werden in einer umfassenden Liste aufgeführt. Dieser Report eignet sich ideal zur Koordination der Behebung von Problemen nach Priorität wie Schweregrad, Projektrelevanz oder -typ, CVE/CWE oder anderen Attributen. Auch lässt sich darüber mühelos verifizieren, inwieweit bestimmte Branchenstandards wie etwa die OWASP Top 10 erfüllt werden.
Detail-Insights zu Schwachstellen
In diesem Report werden sämtliche eindeutigen Schwachstellen aufgeführt, die Snyk innerhalb Ihrer Anwendungen aufspürt. Ähnlich dem vorgenannten Report lassen sich auch darüber Fixing-Aufgaben nach Priorität koordinieren. Zudem hilft er aber auch bei Audits Ihrer Anwendungen sowie dabei, Ihre Anfälligkeit gegenüber bestimmten Schwachstellen zu ermitteln.
Der nachfolgende Screenshot macht dies deutlich: Darin haben wir einen Filter angewendet, über den uns der Report sämtliche Instanzen der Log4Shell-Schwachstelle (CVE-2021-44228) innerhalb von Open-Source-Projekten liefert.
Allgemeine Übersicht
Hierüber erhalten Sie eine kompakte Auswertung des Risikoprofils für alle Ihre Anwendungen mit Metrics etwa zur Anzahl der festgestellten und behobenen Probleme sowie der mittleren Lösungszeit. Hinzu kommen Diagramme, die Daten wie Expositionsdauer oder Lösungszeiten im Zeitverlauf darstellen, sowie eine tabellarische Aufschlüsselung von Risikoprofilen nach Dev-Bereich – alles für eine präzise Erfolgsmessung Erforderliche also, und zudem ideal zum Reporting an Leadership-Teams oder Business-Stakeholder.
Sie sehen also: Mit den jüngsten Neuerungen rund um unsere Reporting-Features können Sie die Sicherheit Ihrer Anwendungen nun noch einfacher und in genau der Detailtiefe ausleuchten, die Sie für Ihren jeweiligen Use Case benötigen.
Unser Commitment für Daten-Insights am Optimum
Die Erfassung von Daten zur Sicherheit Ihrer Anwendungen ebenso wie entsprechende Analyse- und Reporting-Möglichkeiten sind unabdingbar für die Transparenz, die es für ein effektives Security-Programm braucht, das auf gegenseitigem Vertrauen und enger Zusammenarbeit zwischen Dev- und Security-Teams fußt.
Die aktuellen Neuerungen markieren einen bedeutenden Meilenstein hierfür, sind jedoch bei Weitem nicht der letzte in der Entwicklung unserer Reporting-Features sowie unserer Daten-Services im Allgemeinen. So werden wir die Möglichkeiten zur Auswertung Ihrer Security-Daten sukzessive noch differenzierter gestalten und etwa auch neue Out-of-the-box-Reports für spezifische Use Cases ergänzen. Eine Übersicht aktueller Updates unserer Lösungen finden Sie hier.
Die in diesem Artikel beschriebenen Features sind für alle Kunden der Business- oder Enterprise-Variante unserer Plattform verfügbar. Um die Neuerungen freizuschalten, rufen Sie einfach die Snyk UI auf und klicken Sie auf Settings > Snyk Preview.
Dem Release dieser Open Beta ging eine nicht öffentliche Betaphase mit umfassenden Tests der Funktionalität voran. Sollten Sie aber dennoch Probleme feststellen, können Sie uns jederzeit Ihr Feedback übermitteln.
Developer loved. Security trusted.
Snyk steht für Developer-First Security in einem Toolset, mit dem Sie Governance-Prozesse automatisieren und Compliance konsequent gewährleisten.