Application SecurityStatic Application Security Testing

Sicherheit ab der ersten Zeile Code

Nutzen Sie den White-Box-Ansatz von Static Application Security Testing (SAST), um Ihre Anwendungen ab der ersten Zeile Quellcode zu schützen.

Bei dieser statischen Analyse ist der Quellcode während der Analyse einsehbar und die Anwendung muss nicht laufen. Dadurch eignet sich SAST besonders am Anfang des Software Development Lifecycles und sollte frühzeitig in Ihre Entwicklungspipelines integriert werden.

Ansprechpartner

GeschäftsführerThomas Jähnig+49 351 4400 8124+49 157 7465 3532tjaehnig (at) proficom.de

E-Mail senden

Mit der statischen Quellcode-Analyse wird der Code auf potentielle Schwachstellen untersucht

Was ist Static Application Security Testing?

Die statische Sicherheitsanalyse einer Anwendung (engl. „Static Application Security Testing") untersucht den Quellcode auf potenzielle Sicherheitsschwachstellen. Hierbei gibt es verschiedene Verfahren zur Analyse. Die meisten Tools nutzen ein Regelwerk im Hintergrund, in welchem definiert ist, wann eine Quellcode-Zeile beziehungsweise ein Quellcode-Block als unsicher gilt und wann nicht. Andere Tools simulieren die Anwendung zur Laufzeit mithilfe des Quellcodes, um so zum Beispiel Buffer-Overflow-Probleme zu identifizieren.

Durch den White-Box-Ansatz von SAST ist der gesamte Quellcode während der Analyse einsehbar, wodurch Abhängigkeiten innerhalb der Anwendung erkannt und ebenfalls analysiert werden. Dadurch ist es möglich, so genannte Datenfluss-Schwachstellen (engl. Dataflow Issues) zu erkennen, wie zum Beispiel SQL-Injections oder Cross-Site-Scripting.

Was Sie wissen sollten

Vorteile

Frühzeitiges Erkennen potenzieller Sicherheitsschwachstellen spart Kosten
Kein lauffähiger Quellcode während der Analyse notwendig
White-Box-Ansatz: Es werden 100 Prozent der Anwendung gescannt (im Gegensatz zum Black-Box-Ansatz beziehungsweise Dynamic Application Security Testing (DAST)
Einfache Integrationsmöglichkeiten in bestehende Entwicklungsumgebungen

Nachteile

Tools haben meist eine hohe False-Positive-Rate. Es werden sehr viele potenzielle Sicherheitsschwachstellen ausgeben, von denen am Ende nur ein Bruchteil wirklich behoben werden muss.
Sicherheitsschwachstellen, welche im direkten Zusammenhang mit der Laufzeit beziehungsweise der Laufzeit-Umgebung stehen, werden allein durch SAST nicht erkannt. Hier kann aber die dynamische Analyse (DAST) helfen.

Best Practices

Erprobtes und bewährtes Vorgehen

Mit diesen Schritten unterstützen Sie Softwareentwickler dabei, sicheren Code zu programmieren.

Code

Der Entwickler schreibt Quellcode in der IDE und wird von IDE-Plugins unterstützt, welche den Quellcode - bereits während er geschrieben wird - analysieren und Hinweise für sicheren Code geben (zum Beispiel Fortify Security Assistant oder Veracode GreenLight). Diese Plugins analysieren aber meist nur die gerade geöffnete Datei, und nicht das ganze Projekt, wodurch ein vollständiger Scan über das gesamte Projekt notwendig ist.

Push and Scan

Nach dem Push des Entwicklers in das Repository wird ein vollständiger Scan des Quellcodes ausgelöst. Bei diesem Scan untersuchen die Tools das gesamte Projekt unter verschiedenen Blickwinkeln, um ein möglichst genaues Ergebnis zu liefern. Sollten bei diesem Scan zu viele neue Sicherheitsschwachstellen auftreten, wird der Push verworfen und der Entwickler bekommt die Ergebnisse geliefert, um die Schwachstellen zu beheben.

Check

Die Ergebnisse kann der Entwickler in seiner IDE mithilfe von Plugins einsehen und den Quellcode gegebenenfalls anpassen. Die Plugins geben dabei entsprechende Informationen, wie die Schwachstellen zu bewerten und zu beheben sind.