Von Continuous Assurance zu Agentic AppSec: Eine Geschichte darüber, wie die Sicherheit mit der Geschwindigkeit Schritt hält

In fast jedem Entwicklungsteam beginnt es auf die gleiche Weise.

Entwickler arbeiten schnell, entwickeln Funktionen, integrieren Drittanbieterpakete und schreiben jetzt auch Code mit KI-Copiloten. Die CI/CD-Pipelines laufen Tag und Nacht und bringen Updates schneller als je zuvor in die Produktion. Kunden sind mit der Geschwindigkeit zufrieden.

Doch im Hinterkopf jedes CISOs lauert dieselbe bohrende Frage: „Kann ich dem vertrauen, was wir veröffentlichen?“

Wenn Geschwindigkeit das Vertrauen übertrifft

Jahrelang lautete die Standardantwort: „Wir scannen es später.“ Schwachstellenscanner markierten Risiken, und Sicherheitsteams bemühten sich, diese nach dem Build zu priorisieren. Doch mit der Zeit wurden die Mängel dieses Modells offensichtlich.

• Durch ein Abhängigkeitsupdate wird eine vergiftete Bibliothek eingeschleust.

• Eine falsch konfigurierte Pipeline gibt ein Geheimnis preis.

• Und mittlerweile führt KI-generierter Code zu Fehlern in einem Ausmaß, mit dem kein menschliches Review-Team Schritt halten kann. Dieses Ausmaß macht „Shift Left“ zunichte (und der Code war von Anfang an nicht in bester Verfassung…)

Was sich einst als „gut genug“ anfühlte, wurde nun durch die Größe überwältigt. Auch die Regulierungen begannen aufzuholen: SSDF, SLSA, EU CRA, DORA, FedRAMP – alles anspruchsvolle Beweis dass Software sicher erstellt wird und nicht nur Versprechungen sind.

Hier beginnt die Geschichte von Scribe Security.

Kapitel Eins: Die Beweisfabrik

Die Gründungsidee von Scribe war einfach: Wenn Sie Sicherheit nicht mit Beweisen nachweisen können, haben Sie überhaupt keine Sicherheit.

Deshalb haben wir ScribeHub entwickelt, eine Plattform, die sich im Hintergrund in der Softwarefabrik befindet und sammelt bei jedem Schritt unterschriebene Beweise. Es erfasst keinen Quellcode, sondern sammelt:

• SBOMs und sogar AI-BOMs.

• Erstellen Sie Metadaten, Pipeline-Status und Scanner-Ausgaben.

• Unterschriften und Herkunftsnachweise.

• Wer hat was wann und wo genehmigt?

Jedes Stück wird signiert, verschlüsselt und in ein manipulationssicherer Wissensgraph – eine lebendige Karte des gesamten SDLC.

Jetzt konnte ein Leiter der Produktsicherheit zum ersten Mal schwierige Fragen mit Zuversicht und auf der Grundlage handfester Beweise beantworten: Woher stammt dieser Container? Wer hat ihn unterschrieben? Hat er alle Richtlinienprüfungen bestanden?

Es war ein großer Sprung nach vorne. Doch dann änderte die KI das Tempo erneut.

Kapitel Zwei: Wenn KI zum Erbauer wird

KI-Codierungsassistenten vervielfachten die Produktivität der Entwickler, machten aber auch Fehler. Funktionaler Code erschien sofort, aber auch Fehlkonfigurationen, Schwachstellen und offengelegte Geheimnisse.

Plötzlich war das Problem nicht nur die Größe, sondern exponentielle Skala.

Das Scribe-Team erkannte, dass KI, wenn sie Risiken schneller schaffen kann, als Menschen sie beheben können, auch helfen muss beheben diese Risiken. Diese Erkenntnis war der Auslöser für unsere nächste Entwicklung: Agentic AppSec.

Kapitel Drei: Der Aufstieg der Agenten

Anstelle einer monolithischen KI haben wir eine Netzwerk spezialisierter Agenten, die sich jeweils auf einen kritischen Teil der Software-Lieferkette konzentrierten:

• Hey Mann, Der AppSec-Copilot spricht in einfachem Englisch. Fragen Sie „Zeigen Sie mir ausnutzbare Schwachstellen im Zahlungsdienst“, und er antwortet nicht nur, sondern öffnet auch die richtigen Jira-Tickets.

• Remus schlägt nicht nur Korrekturen vor; es erstellt Pull Requests, validiert Änderungen und aktualisiert Herkunftsdatensätze.

• Arzt optimiert Dockerfiles – Auswahl sichererer Basen, Verkleinern von Images, Neubewertung von Builds.

• Compy prüft kontinuierlich Compliance-Frameworks und erstellt revisionssichere Berichte.

• Eva stellt sicher, dass Beweise in jeder Pipeline korrekt gesammelt werden.

Jeder Agent zieht aus dem gleichen Beweisdiagramm, Stellen Sie sicher, dass ihre Aktionen konsistent, erklärbar und überprüfbar sind.

Gemeinsam verwandeln sie die Sicherheit von einem manuellen Engpass in eine reibungsloses, automatisiertes Sicherheitsnetz.

Kapitel vier: Vertrauen ohne nachzulassen

Der Zauber liegt darin, dass diese Prüfungen für Entwickler unsichtbar sind.

Push-Code wie gewohnt und hinter den Kulissen:

• Artefakte sind signiert.

• Es werden SBOMs generiert.

• Richtliniensperren setzen durch, was erlaubt ist.

• Agenten analysieren Risiken und beheben diese automatisch, wenn die Sicherheit gegeben ist.

Entwickler sehen nur das Wesentliche: einen sauberen PR, der eine Sicherheitslücke behebt, oder ein Ticket, das erklärt, warum ein Build blockiert wurde. Sicherheit verlangsamt Releases nicht mehr; sie beschleunigt sie sicher.

Kapitel fünf: Beweise in der realen Welt

Organisationen, die Scribe verwenden, berichten von überzeugenden Ergebnissen:

• 40–70 % weniger Schwachstellenlärm durch kontextbezogene Triage.

• Die MTTR (mittlere Zeit bis zur Behebung) wird bei wiederkehrenden Befunden von Wochen auf Stunden verkürzt.

• Dank kontinuierlicher Beweissammlung konnte die Auditvorbereitung um mehr als die Hälfte reduziert werden.

• Verbesserte Release-Stabilität – weniger Last-Minute-Blockaden, weniger Hotfixes.

Und das Wichtigste: die Fähigkeit, gewährleisten dass jede Softwareversion Ihre obligatorischen Sicherheitsanforderungen erfüllt, beweisen, nicht nur behaupten, dass jede Veröffentlichung sicher ist.

Epilog: Sicherheit im KI-Zeitalter

Bei der Software-Sicherheit geht es nicht mehr um das Scannen nach der Tat. Es geht um Vertrauen in die Pipeline selbst aufbauen.

Die Weiterentwicklung von Scribe Security von der kontinuierlichen Absicherung zur agentenbasierten AppSec ist eine Anerkennung der veränderten Welt:

• Software ist schneller.

• Risiken sind schneller.

• Und jetzt, dank Scribe, Auch die Sicherheit ist schneller.

Mit Beweisen als Grundlage und KI-Agenten als Arbeitskräften bietet Scribe alles, was jeder CISO und Entwickler braucht: Software, der Sie vertrauen können, mit der Geschwindigkeit, die Sie liefern müssen. Den vollständigen Artikel lesen

Ähnliche Artikel

KI-Code, KI-Fix: Kann Automatisierung das sichern, was sie erstellt?

Ihr Vibe-Coding-Projekt ist voller Schwachstellen! Softwareentwicklung mit KI ist von Science-Fiction zur alltäglichen Realität geworden. Ihr KI-codiertes Projekt funktioniert möglicherweise einwandfrei … bis Hacker die Schwachstellen finden. In diesem Beitrag beschreiben wir den Weg vom KI-generierten Code voller Entdeckungen und Schwachstellen zu einem vertrauenswürdigen Produkt, indem wir einen […]

Was passiert, wenn ein KI-Unternehmen Opfer einer Sicherheitslücke in der Software-Lieferkette wird?

Am 20. März hat OpenAI das beliebte generative KI-Tool ChatGPT für einige Stunden lahmgelegt. Später wurde zugegeben, dass der Grund für den Ausfall eine Sicherheitslücke in der Software-Lieferkette war, die ihren Ursprung in der Open-Source-In-Memory-Datenspeicherbibliothek „Redis“ hatte. Aufgrund dieser Sicherheitslücke gab es ein Zeitfenster (zwischen 1 und 10 Uhr morgens).

Die Geschichte des OpenSSL-Patches 3.0.7 und die Lehren, die Sie daraus ziehen können

OpenSSL ist eine weit verbreitete Open-Source-Softwarebibliothek zur Implementierung sicherer Kommunikation über Computernetzwerke. Wie weit verbreitet? Wenn Sie jemals auf eine HTTPS-Webseite zugegriffen haben, ist die Wahrscheinlichkeit groß, dass Sie dies über eine OpenSSL-Verschlüsselung getan haben. Die Bibliothek bietet kryptografische Funktionen und Protokolle für die Datenverschlüsselung, -entschlüsselung, -authentifizierung und die Überprüfung digitaler Signaturen. OpenSSL kann […]