Static Application Security Testing (SAST) deckt Sicherheitsprobleme direkt im Quellcode auf. Sie kann alternativ zum Penetrationstests oder ergänzend dazu angewandt werden. Im Unterschied zum Penetrationstest ist sie als Bestandteil der technischen Prozesskette gut zur automatisierten Durchführung während der Entwicklung geeignet.
Unsere Leistung
Wir führen manuelle und toolbasierte Codeanalysen durch und unterstützen bei der Integration automatisiert ablaufender Sicherheitstests in den Softwareentwicklungsprozess.
Wir decken alle Einsatzszenarien der Statischen Codeanalyse ab,
um Sicherheitsrisiken zuverlässig zu identifizieren und zu minimieren. Unser Angebot umfasst manuelle Prüfungen, automatisierte Analysen und Unterstützung bei der Automatisierung Ihrer Build-Chain.
Manuelle Sourcecodeanalyse
Für Sicherheitslücken verantwortliche Programmierfehler treten in modernen Webanwendungen häufig an typischen, systematisch identifizierbaren Stellen im Code und der Konfiguration auf. Mit unserem Verfahren SAST-Quick-Wins lassen sich diese mit überschaubarem Aufwand prüfen und die Sicherheit einer Webanwendung beträchtlich erhöhen.
Das Verfahren ist auch bestens als ergänzend zu einem Penetrationstest geeignet.
Automatische Statische Codeanalyse
Abgestimmt auf Ihre Anforderungen setzen wir eines der am Markt verfügbaren SAST-Tools ein und bereiten die Ergebnisse in einer für Verantwortliche und Entwickler leicht verstehbaren Form auf.
Die Ergebnisse sind von False Positives bereiningt, mehrfaches Auftreten derselben Schwachstelle ist konsolidiert und die Bewertung der Kritikalität geprüft und ggf. kontextbezogen angepasst.
Der Einsatz von KI und ausfeiltem Promping ermöglicht uns zusätzlich die Erkenung einer Reihe semantischer Probleme.
Automatisierte Sicherheitsanalysen
Die Integration von Sicherheitstests in die technische Prozesskette hilft, Schwachstellen oder sicherheitsrelevante Probleme frühzeitig zu erkennen.
Wir bringen langjährige Erfahrung mit am Markt verfügbaren kommerziellen SAST und IAST Tools sowie für Spezialaufgaben geeigneten Open Source Tools mit und können Sie bei der auf Ihre Anforderungen zugeschnittenen Ausstattung Ihrer Buildchain unterstützen.
Ihr Vorteil
Mit der statischen Codeanalyse stellen Sie sicher, dass Sicherheitsprobleme bei der Softwareentwicklung gar nicht erst entstehen. Sie gewinnen Verlässlichkeit, sparen wertvolle Zeit in der Entwicklung bauen auf die Expertise von echten Softwareentwicklern.
- Langjährige Erfahrung und der Einsatz von SAST-Tools in eigenen Entwicklungsprojekten
- Codeverständnis durch aktiv tätige Softwareentwicklerler
- Früherkennung von Risiken
- Mehr Verlässlichkeit und Transparenz in der Entwicklung
Sourcecodeanalyse versus Penetrationstest
Automatische Sourcecodeanalyse und Penetrationstests haben beide Ihre Stärken – auf den richtigen Einsatz kommt es an! Hier einige Merkmale dieser Ansätze.
Automatische Statische Codeanalyse
- Findet Schwachstellen, die ein Penetrationstest nicht auffinden kann
- Systematischer, umfassender Ansatz
- Probleme werden direkt an der zugehörigen Codestelle lokalisiert
- Konkrete Angaben zur Behebung
- Grad der Abdeckung der Analyse ist nachvollziehbar, zumeist Vollabdeckung
- Liefert Aussagen bereits während der Entwicklung
- Komponententests sind möglich
- Leistet einen effektiven Beitrag zur Schulung der Entwickler
Penetrationstest
- Findet Schwachstellen, die eine Sourcecodeanalyse nicht oder nicht sicher auffinden kann
- Bezieht das Gesamtsystem (Webserver etc.) in die Untersuchung mit ein
- Leichte Durchführbarkeit