SAST (Static Application Security Testing)
Was ist SAST (Static Application Security Testing)?
SAST (Static Application Security Testing)Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
SAST-Tools überführen Code in Zwischenrepräsentationen (AST, Kontroll- und Datenflussgraphen) und wenden Regeln oder Taint-Analyse an, um unsichere Muster zu erkennen, die mit CWEs verknüpft sind. Da sie ohne Ausführung arbeiten, lassen sie sich in IDEs, Pre-Commit-Hooks und CI/CD-Pipelines einbetten und können Code analysieren, der noch nicht ausgeliefert ist. SAST findet vor allem deterministische Bugs (SQL-Injection, XSS-Sinks, hartcodierte Secrets, schwache Krypto), erzeugt aber Falsch-Positive und übersieht reine Laufzeit-Probleme; daher wird es meist mit SCA und DAST kombiniert. Gängige Werkzeuge: Semgrep, GitHub CodeQL, SonarQube, Checkmarx, Fortify.
● Beispiele
- 01
Semgrep mit OWASP-Top-10-Regelset bei jedem Pull Request ausführen.
- 02
GitHub CodeQL nutzen, um Path Traversal in einem Java-Service vor dem Merge zu finden.
● Häufige Fragen
Was ist SAST (Static Application Security Testing)?
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet SAST (Static Application Security Testing)?
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
Wie schützt man sich gegen SAST (Static Application Security Testing)?
Schutzmaßnahmen gegen SAST (Static Application Security Testing) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SAST (Static Application Security Testing)?
Übliche alternative Bezeichnungen: Statische Analyse, White-Box-Test.