Statische Codeanalyse

Security Testing

Static Application Security Testing (SAST) deckt Sicherheitsprobleme direkt im Quellcode auf. Sie kann während der Entwicklung durchgeführt werden und führt den Entwickler an die Wurzel des Problems.

Manuelle Sourcecodeanalyse

Dort, wo eine manuelle Sourcecodeanalyse auf Sicherheitsprobleme gewünscht oder erforderlich ist, bieten wir mit unserem Verfahren SAST-Quick-Wins einen schlanken und leistungsfähigen Ansatz.

Für Sicherheitslücken verantwortliche Programmierfehler treten in modernen Webanwendungen häufig an typischen, systematisch identifizierbaren Stellen im Code und der Konfiguration auf. Mit unserem Verfahren SAST-Quick-Wins lassen diese sich mit überschaubarem Aufwand prüfen und die Sicherheit einer Webanwendung beträchtlich erhöhen. Das Verfahren ist auch bestens als vorbereitende Ergänzung für einen Penetrationstest geeignet.

Ergebnisreport:

Als Resultat unsere Analyse erhalten Sie einen umfassenden Report, der jedes geprüfte Problemfeld beschreibt und die dazu korrespondierenden Stellen im Source Code aufzeigt. Hierbei geben wir allgemeine Hinweise oder Best Practices zur Lösung des Problems. Dies sollte einem Entwickler leicht ermöglichen, die entsprechenden Probleme zu finden, nachzuvollziehen und zu beheben.

Automatische Statische Codeanalyse

Abgestimmt auf Ihre Anforderungen setzen wir eines der am Markt verfügbaren Tools zur statischen Codeanalyse ein–auch Static Application Security Testing (SAST)-Tool genannt – und bereiten die Ergebnisse in einer für Verantwortliche und Entwickler leicht verstehbaren Form auf.

Die Automatische Sourcecodeanalyse als Methode zur Prüfung der Sicherheit stellt eine – häufig bessere – Alternative zum Penetrationstest dar, oder liefert in Kombination mit diesem maximale Sicherheit. Die Möglichkeiten des Einsatzes dieses Mittels sind sehr breit und reichen vom schnellen Scan mit hoher Aussagekraft bis hin zur Integration in den gesamten Software Development Lifecycle (SDLC). Lassen Sie sich von uns beraten, wie Sie dieses leistungsfähige Mittel für sich nutzen, um Ihre Webanwendungen nachhaltig sicher zu machen und den besten Tradeoff zwischen Kosten und Sicherheit zu erzielen. Wir bieten diese Tests an:

  • Quicktest SAST

  • Integrierte Analyse SAST/Pentest

  • Umfassende codebasierte Web Application Security

Sourcecodeanalyse vs. Penetrationstest

Automatische Sourcecodeanalyse und Penetrationstests haben beide Ihre Stärken – auf den richtigen Einsatz kommt es an! Hier einige Merkmale dieser Ansätze:.

Automatische Codeanalyse

  • Systematischer, umfassender Ansatz

  • Die Beschreibung der gefundenen Schwachstellen und die Maßnahmenempfehlungen sind in der Sprache des Entwicklers

  • Abdeckung der Analyse ist nachvollziehbar, zumeist Vollabdeckung

  • Liefert Aussagen bereits während der Entwicklung

  • Komponententests sind möglich

  • Leistet einen effektiven Beitrag zur Schulung der Entwickler

  • Sicherheitswissen wird Teil des Projektes bzw. der ganzen Organisation, nicht einzelner Personen

  • Findet Schwachstellen, die ein Penetrationstest nicht auffinden kann

Penetrationstest

  • Bezieht das Gesamtsystem (Webserver etc.) in die Untersuchung mit ein

  • Leichte Durchführbarkeit

  • Findet Schwachstellen, die eine Sourcecodeanalyse nicht oder nicht sicher auffinden kann

Siehe auch:

Ihr Ansprechpartner

Mirko Richter

KARRIERE

Du bist Experte in diesem Thema?

Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.

Du bist noch Einsteiger?
Dann schau auch hier:

Zurück

OWASP ASVS Assessment
Weiter

Fat Client Security Testing