Dynamische Codeanalyse (IAST)

IAST (Interactive Application Security Testing) ist eine recht neue Toolkategorie, welche Programmcode dynamisch im Rahmen ihrer Ausführung, also innerhalb des Testservers (Tomcat, WebLogic, etc.) nach Sicherheitsproblemen analysieren. IAST verbindet damit die Vorteile von SAST und DAST.

Im Gegensatz zu anderen Toolkategorien ermöglichen es einige IAST-Lösungen auch Webanwendungen rein passiv zu analysieren und dadurch beispielsweise Sicherheitsprobleme im Rahmen fachlicher Tests im Hintergrund zu identifizieren – und dies mit einer sehr geringen Fehlerkennungsrate. Ein Anstoßen expliziter Sicherheitstests ist hier nicht mehr erforderlich, wodurch sich diese Tools auch hervorragend für den Einsatz im Rahmen einer agilen Entwicklungen und DevOps eignen.



Eine genauere Erläuterung zu den einzelne IAST-Toolkategorien findet sich in unserem Blog-Post.

Technische Details

  • Einfache Installation & Handhabung
  • Sehr wenige False Positives
  • Analysen im Rahmen fachlicher Tests möglich
  • Sehr gut für agiles Testen geeignet
  • Sowohl als Cloud- als auch On-Premise-Variante verfügbar
  • Identifiziert gängige Schwachstellen für Webanwendungen (z.B. Cross-site Scripting, SQL Injection)
  • Unterstützt Java-, .NET- sowie Node.JS-basierte Webanwendungen