Statische Codeanalyse
Security Testing
Static Application Security Testing (SAST) deckt Sicherheitsprobleme direkt im Quellcode auf. Sie kann während der Entwicklung durchgeführt werden und führt den Entwickler an die Wurzel des Problems.
Manuelle Sourcecodeanalyse
Dort, wo eine manuelle Sourcecodeanalyse auf Sicherheitsprobleme gewünscht oder erforderlich ist, bieten wir mit unserem Verfahren SAST-Quick-Wins einen schlanken und leistungsfähigen Ansatz.
Für Sicherheitslücken verantwortliche Programmierfehler treten in modernen Webanwendungen häufig an typischen, systematisch identifizierbaren Stellen im Code und der Konfiguration auf. Mit unserem Verfahren SAST-Quick-Wins lassen diese sich mit überschaubarem Aufwand prüfen und die Sicherheit einer Webanwendung beträchtlich erhöhen. Das Verfahren ist auch bestens als vorbereitende Ergänzung für einen Penetrationstest geeignet.
Ergebnisreport:
Als Resultat unsere Analyse erhalten Sie einen umfassenden Report, der jedes geprüfte Problemfeld beschreibt und die dazu korrespondierenden Stellen im Source Code aufzeigt. Hierbei geben wir allgemeine Hinweise oder Best Practices zur Lösung des Problems. Dies sollte einem Entwickler leicht ermöglichen, die entsprechenden Probleme zu finden, nachzuvollziehen und zu beheben.
Automatische Statische Codeanalyse
Abgestimmt auf Ihre Anforderungen setzen wir eines der am Markt verfügbaren Tools zur statischen Codeanalyse ein–auch Static Application Security Testing (SAST)-Tool genannt – und bereiten die Ergebnisse in einer für Verantwortliche und Entwickler leicht verstehbaren Form auf.
Die Automatische Sourcecodeanalyse als Methode zur Prüfung der Sicherheit stellt eine – häufig bessere – Alternative zum Penetrationstest dar, oder liefert in Kombination mit diesem maximale Sicherheit. Die Möglichkeiten des Einsatzes dieses Mittels sind sehr breit und reichen vom schnellen Scan mit hoher Aussagekraft bis hin zur Integration in den gesamten Software Development Lifecycle (SDLC). Lassen Sie sich von uns beraten, wie Sie dieses leistungsfähige Mittel für sich nutzen, um Ihre Webanwendungen nachhaltig sicher zu machen und den besten Tradeoff zwischen Kosten und Sicherheit zu erzielen. Wir bieten diese Tests an:
Quicktest SAST
Integrierte Analyse SAST/Pentest
Umfassende codebasierte Web Application Security
Sourcecodeanalyse vs. Penetrationstest
Automatische Sourcecodeanalyse und Penetrationstests haben beide Ihre Stärken – auf den richtigen Einsatz kommt es an! Hier einige Merkmale dieser Ansätze:.
Automatische Codeanalyse
Systematischer, umfassender Ansatz
Die Beschreibung der gefundenen Schwachstellen und die Maßnahmenempfehlungen sind in der Sprache des Entwicklers
Abdeckung der Analyse ist nachvollziehbar, zumeist Vollabdeckung
Liefert Aussagen bereits während der Entwicklung
Komponententests sind möglich
Leistet einen effektiven Beitrag zur Schulung der Entwickler
Sicherheitswissen wird Teil des Projektes bzw. der ganzen Organisation, nicht einzelner Personen
Findet Schwachstellen, die ein Penetrationstest nicht auffinden kann
Penetrationstest
Bezieht das Gesamtsystem (Webserver etc.) in die Untersuchung mit ein
Leichte Durchführbarkeit
Findet Schwachstellen, die eine Sourcecodeanalyse nicht oder nicht sicher auffinden kann
Siehe auch:
Werkzeuggestützte Quellcodeanalyse powered by AI
Kommen Ihnen folgende Rückmeldungen aus Ihren Software-Projekten zum Einsatz von SAST-Scannern bekannt vor?
„Es werden zuviele Falschmeldungen geliefert!“
„Wir haben keine Zeit, uns durch alle Findings durchzuarbeiten - wo sollen wir anfangen?“
„Oh, das Finding haben wir beim Durcharbeiten der Unmengen an Findings wohl übersehen…“
Werden Scanner eher als „notwendiges Übel“ denn als sinnvolle Ergänzung zur Erhöhung der Anwendungssicherheit wahrgenommen?
Wir haben in empirischen Untersuchungen nachgewiesen, dass generative KI den manuellen Audit sehr effektiv unterstützen kann und entsprechende automatisierte Werkzeugketten für den Produktiveinsatz aufgebaut. Sprechen Sie uns darauf an!
Siehe auch: Unsere Dienstleistungen zur Security von Generative AI und LLMs.
Vortrag auf dem IT Security Summit in Berlin,18. Juni 2024 - Zum Abspielen klicken.
Ihr Ansprechpartner
Mirko Richter
Nehmen Sie Kontakt per E-Mail auf, rufen Sie uns an oder nutzen Sie unser Kontaktformular.
KARRIERE
Du bist Experte in diesem Thema?
Dann könnte unser tolles Team vielleicht zur neuen Heimat für dich werden.
Du bist noch Einsteiger?
Dann schau auch hier:
