Add your offcanvas content in here

Das Unternehmen

Portfolio

Übersicht Application Security

Simplifying your IT-security journey.

Security Testing

Statische Codeanalyse

01. Grundlagen02. Unsere Leistung03. Ihr Vorteil

Schwachstellen dort finden, wo sie entstehen: Mit Statischer Codeanalyse (SAST) decken wir Sicherheitsprobleme direkt im Quellcode auf – noch während der Entwicklung

Viele Sicherheitslücken sind die Folge von Programmierfehlern oder unsicheren Konfigurationen. Klassische Penetrationstests entdecken diese oft erst spät, wenn die Anwendung schon im Einsatz ist. Mit einer Statischen Codeanalyse lassen sich Risiken frühzeitig erkennen und beheben.
Wir bieten sowohl manuelle Sourcecodeanalysen als auch den Einsatz marktführender SAST-Tools. Damit ermöglichen wir Ihren Entwicklern, Sicherheitsprobleme im Code unmittelbar nachzuvollziehen – und nachhaltige Verbesserungen umzusetzen.

Unsere Leistung

Angebot

Unsere Statische Codeanalyse umfasst verschiedene Ansätze – von schlanken Quick-Wins bis hin zur vollständigen Integration in den Software Development Lifecycle (SDLC):

  • Manuelle Sourcecodeanalyse: Identifikation typischer Fehlerstellen im Code durch erfahrene Experten (SAST-Quick-Wins). Ideal als gezielte Ergänzung vor einem Penetrationstest.

  • Automatische Statische Codeanalyse: Einsatz marktführender Tools, abgestimmt auf Ihren Technologiestack. Aufbereitung der Ergebnisse in einer für Entwickler leicht verständlichen Form.

  • Individuelle Testvarianten:

    • Quicktest SAST

    • Integrierte Analyse SAST + Pentest

    • Umfassende codebasierte Web Application Security

Vorgehen

Vorgehen

Unser Vorgehen ist transparent, nachvollziehbar und praxisnah:

  1. Scoping: Definition von Projektzielen, Umfang und eingesetzten Technologien.
  2. Analyse: Durchführung manueller und/oder automatischer Codeprüfungen.
  3. Befunddokumentation: Aufzeigen der relevanten Stellen im Quellcode mit klaren Best Practices zur Behebung.
  4. Review & Reporting: Erstellung eines strukturierten Berichts für Entwickler und Management.
  5. Integration: Auf Wunsch Einbindung der Analyse in CI/CD-Prozesse für kontinuierliche Sicherheit.

Prüfpunkte

Vorgehen

Wir prüfen systematisch sicherheitskritische Bereiche des Codes:

  • Eingabe- und Ausgabevalidierung
  • Authentifizierung und Autorisierung
  • Fehler- und Ausnahmebehandlung
  • Nutzung von Frameworks und Libraries
  • Speicherung und Transport sensibler Daten
  • Konfigurations- und Deployment-Aspekte

Wir decken alle Einsatzszenarien der Statischen Codeanalyse ab:

Für Sicherheitslücken verantwortliche Programmierfehler treten in modernen Webanwendungen häufig an typischen, systematisch identifizierbaren Stellen im Code und der Konfiguration auf. Mit unserem Verfahren SAST-Quick-Wins lassen sich diese mit überschaubarem Aufwand prüfen und die Sicherheit einer Webanwendung beträchtlich erhöhen.

Das Verfahren ist auch bestens als ergänzend zu einem Penetrationstest geeignet.

Abgestimmt auf Ihre Anforderungen setzen wir eines der am Markt verfügbaren SAST-Tools ein und bereiten die Ergebnisse in einer für Verantwortliche und Entwickler leicht verstehbaren Form auf.

Die Ergebnisse sind von False Positives bereiningt, mehrfaches Auftreten derselben Schwachstelle ist konsolidiert und die Bewertung der Kritikalität geprüft und ggf. kontextbezogen angepasst.

Der Einsatz von KI und ausfeiltem Promping ermöglicht uns zusätzlich die Erkenung einer Reihe semantischer Probleme.

Die Integration von Sicherheitstests in die technische Prozesskette hilft, Schwachstellen oder sicherheitsrelevante Probleme frühzeitig zu erkennen. 

Wir bringen langjährige Erfahrung mit am Markt verfügbaren kommerziellen SAST und IAST Tools sowie für Spezialaufgaben geeigneten Open Source Tools mit und können Sie bei der auf Ihre Anforderungen zugeschnittenen Ausstattung Ihrer Buildchain unterstützen.

Ihr Vorteil

Mit der statischen Codeanalyse stellen Sie sicher, dass Sicherheitsprobleme bei der Softwareentwicklung gar nicht erst entstehen. Sie gewinnen Verlässlichkeit, sparen wertvolle Zeit in der Entwicklung bauen auf die Expertise von echten Softwareentwicklern.

  • Unsere langjährige Erfahrung und der Einsatz von SAST-Tools in eigenen Entwicklungsprojekten 
  • Entwicklerfreundliche Reports mit klaren Best Practices 
  • Mehr Verlässlichkeit und Transparenz in der Entwicklung
  • Geringere Kosten durch Früherkennung von Risiken – Prävention statt Nachbesserung
  • Stärkung von Entwicklerkompetenz und Security-Awareness

Mirko Richter

Lassen Sie sich die Einsatzmöglichkeiten aufzeigen.

E-Mail

mgm DeepDive

Sourcecodeanalyse versus Penetrationstest – Automatische Sourcecodeanalyse und Penetrationstests haben beide Ihre Stärken – auf den richtigen Einsatz kommt es an! Hier einige Merkmale dieser Ansätze.

Automatische Statische Codeanalyse

  • Findet Schwachstellen, die ein Penetrationstest nicht auffinden kann
  • Systematischer, umfassender Ansatz
  • Probleme werden direkt an der zugehörigen Codestelle lokalisiert
  • Konkrete Angaben zur Behebung 
  • Grad der Abdeckung der Analyse ist nachvollziehbar, zumeist Vollabdeckung
  • Liefert Aussagen bereits während der Entwicklung
  • Komponententests sind möglich
  • Leistet einen effektiven Beitrag zur Schulung der Entwickler

Penetrationstest

  • Findet Schwachstellen, die eine Sourcecodeanalyse nicht oder nicht sicher auffinden kann
  • Bezieht das Gesamtsystem (Webserver etc.) in die Untersuchung mit ein
  • Leichte Durchführbarkeit