Anwendungssicherheit
SAST (Static Application Security Testing)
Auch bekannt als: Statische Analyse, White-Box-Test
Definition
Automatisierte Analyse von Quellcode, Bytecode oder Binaries – ohne Ausführung – um Sicherheitsschwächen wie Injection, unsichere APIs oder schwache Kryptografie zu finden.
Beispiele
- Semgrep mit OWASP-Top-10-Regelset bei jedem Pull Request ausführen.
- GitHub CodeQL nutzen, um Path Traversal in einem Java-Service vor dem Merge zu finden.
Verwandte Begriffe
DAST (Dynamic Application Security Testing)
Blackbox-Sicherheitstests, die eine laufende Anwendung über das Netzwerk untersuchen, um nur zur Laufzeit sichtbare Schwachstellen wie Injection, Auth-Fehler und Fehlkonfigurationen zu finden.
IAST (Interactive Application Security Testing)
Sicherheitstest, der eine laufende Anwendung von innen instrumentiert und in Echtzeit beobachtet, während sie durch Verkehr oder Tests ausgeführt wird.
SCA (Software Composition Analysis)
Automatisierte Analyse der Open-Source- und Drittanbieterkomponenten einer Anwendung, um bekannte Schwachstellen, Lizenzprobleme und veraltete oder riskante Abhängigkeiten zu erkennen.
Secure Coding
Secure Coding — definition coming soon.
DevSecOps
Eine Kultur und Praxis, die Sicherheitsverantwortung in DevOps-Workflows integriert, damit Teams sichere Software kontinuierlich und schnell ausliefern.
OWASP Top 10
OWASP Top 10 — definition coming soon.