Dynamische Codeanalyse (IAST)

IAST (Interactive Application Security Testing) ist eine recht neue Toolkategorie, welche Programmcode dynamisch im Rahmen ihrer Ausführung, also innerhalb des Testservers (Tomcat, WebLogic, etc.) nach Sicherheitsproblemen analysieren. IAST verbindet damit die Vorteile von SAST und DAST.

Im Gegensatz zu anderen Toolkategorien ermöglichen es einige IAST-Lösungen auch Webanwendungen rein passiv zu analysieren und dadurch beispielsweise Sicherheitsprobleme im Rahmen fachlicher Tests im Hintergrund zu identifizieren – und dies mit einer sehr geringen Fehlerkennungsrate. Ein Anstoßen expliziter Sicherheitstests ist hier nicht mehr erforderlich, wodurch sich diese Tools auch hervorragend für den Einsatz im Rahmen agiler Softwareentwicklungen und DevOps eignen.

Eine genauere Erläuterung zu den einzelne IAST-Toolkategorien findet sich in unserem Blog-Post.

Technische Details

  • Einfache Installation & Handhabung
  • Sehr wenige False Positives (siehe OWASP Benchmark)
  • Analysen im Rahmen fachlicher Tests möglich (kein explizites Securitytesting erforderlich!)
  • Sehr gut für agiles Testen und Continuous Deployment geeignet
  • Sowohl als Cloud- als auch On-Premise-Variante verfügbar
  • Identifiziert gängige Schwachstellen in Webanwendungen (z.B. Cross-site Scripting, SQL Injection) und Services/APIs
  • Unterstützt Java-, .NET-, .NET.Core sowie Node.JS-basierte Webanwendungen
  • In Kombiation mit RASP auch um Schutzfunktion für Produktivbetrieb erweiterbar.