Continuous Security Testing stellt sicher, dass Systeme und Anwendungen in einem geregelten Zyklus auf Schwachstellen untersucht werden. Die gewählte Methodik erlaubt eine enge Integration in den agilen Entwicklungsprozess und ermöglicht es somit eine hohe und kontinuierliche Testabdeckung zu erreichen.
Continuous Security Testing ist für alle Anwendungen sinnvoll, die in kurzen Iterationszyklen entwickelt werden. Moderne Entwicklungsmethoden erlauben es oftmals nicht, die notwendigen Zeitfenster für manuelle Security Tests bereitzustellen. Durch die Integration der Security Tests in den Entwicklungsprozess können Schwachstellen im Source Code sehr früh erkannt und behoben werden. Darüber hinaus erlaubt es die kontinuierliche Überprüfung in der Produktion, sowohl das Sicherheitsniveau laufend zu steigern als auch eine hohe Testabdeckung nachweisen zu können. Durch die enge Integration werden die Kommunikationswege zwischen Tester und Entwickler drastisch verkürzt und somit die Effizienz gesteigert.
Die Stärken von Continuous Security Testing können vor allem für agile Entwicklungsmethoden, insbesondere DevOps, ausgenutzt werden. Für Applikationen, die keinen geregelten Release-Zyklen unterliegen und die ausreichend große Zeitfenster für tiefgehende Sicherheitstests haben, bietet SEC Consult klassische Sicherheitsüberprüfungen wie Penetrationtests und Security Source Code Reviews an.
Die Aufwände für Continuous Security Testing skalieren mit mehreren Faktoren. Wesentliche Kriterien sind die gewünschte Testtiefe abhängig von der Kritikalität der Applikation, sowie der Umfang und die Komplexität der Anwendung. Die Länge der Release Zyklen und somit die Frequenz der Überprüfungen spielen nur eine untergeordnete Rolle, da eine höhere Frequenz zu geringeren Aufwänden pro Testdurchlauf führt. Eine monatliche Überprüfung wird im Vergleich zu einer wöchentlichen Überprüfung in etwa den 4-fachen Umfang pro Testdurchlauf haben, da auch die Änderungen in der Anwendung entsprechend umfangreicher sein werden. Die initialen Rüstzeiten für die Integration des Security Test Teams in den Entwicklungsprozess sind über die Laufzeit von Continuous Security Testing vernachlässigbar und befinden sich bereits nach dem ersten Jahr im einstelligen Prozent-Bereich des Gesamtaufwands.
SEC Consult unterscheidet bei Continuous Security Testing zwischen Development Security Monitoring (DevSECMon) in der Entwicklung und Application Security Monitoring (AppSECMon) in der Produktion. Bei DevSECMon wird bereits während der Entwicklung kontinuierlich der Source Code überprüft. Bei AppSECMon wird durch regelmäßige Überprüfungen in der Produktionsumgebung sichergestellt, dass die Anwendung nie über einen längeren Zeitraum ungetestet verfügbar ist.
