Statische Codeanalyse (SAST)

Im Rahmen einer statischen Security Code Analyse (SAST „= Static Application Security Testing“) wird je nach eingesetztem Verfahren entweder der Sourcecode oder aber der kompilierte Byte- oder Binärcode auf mögliche Sicherheitsmängel hin analysiert. Wir setzen hierbei sowohl Verfahren ein, mit denen sich bereits in einer sehr frühen Entwicklungsphase erste Codefragmente untersuchen lassen, genauso wie fertig kompilierte Bibliotheken und Anwendungscode, den Sie etwa von Zuliefern erhalten.

Im Rahmen einer Secure Code Analyse lassen sich u.a. Schwachstellen wie Cross-site Scripting (XSS), SQL Injection, Buffer Overflow oder unsichere API-Aufrufe (z.B. von Krypto-Routinen) identifizieren.

Secure Code Analysen lassen sich u.a. in den Build-Prozess integrieren und dort z.B. als eigener „Security Build Job“ automatisiert in den Qualitätssicherungsprozess integrieren. Hierdurch lässt sich zwar nicht die gleiche Analysetiefe erreichen, wie dies bei einem manuellen Verfahren (z.B. einem Secure Code Review) der Fall ist.

Auch für die Anzeige der Scanergebnisse existieren, je nach eingesetzter Lösung, unterschiedliche Möglichkeiten. So liefert das komerzielle SAST-Werkzeug Checkmarx verschiedene Plugins für gängige Entwickler UIs wie Eclipse:

checkmarx results1

Allerdings lässt sich mit einem entsprechend geeignetem und konfigurierten Tool, ein (Basis-)Sicherheitsniveau gewährleisten und Entwicklern zeitnahes Feedback zu dem von ihnen erstellten Code zurückspiegeln.

Wir unterstützen Sie hier in allen Bereichen, angefangen von Auswahl, über Integration, Konfiguration bis hin zu Schulung und Einsatz einer geeigneten für Sie individuell geeigneten SAST-Lösung. Und dies völlig herstellerneutral und unabhängig!

Neben allen gängigen kommerziellen Tools (darunter Checkmarx, Fortify, Veracode) besitzen wir auch umfassende Kenntnisse mit dem Einsatz entsprechender OpenSource-Tools in diesem Bereich. Im Fokus steht bei uns stets die optimale Lösung für den Kunden, nicht das Produkt!