Dynamische Codeanalyse (IAST)
IAST (Interactive Application Security Testing) ist eine recht neue Toolkategorie, welche Programmcode dynamisch im Rahmen ihrer Ausführung, also innerhalb des Testservers (Tomcat, WebLogic, etc.) nach Sicherheitsproblemen analysieren. IAST verbindet damit die Vorteile von SAST und DAST.
Im Gegensatz zu anderen Toolkategorien ermöglichen es einige IAST-Lösungen auch Webanwendungen rein passiv zu analysieren und dadurch beispielsweise Sicherheitsprobleme im Rahmen fachlicher Tests im Hintergrund zu identifizieren – und dies mit einer sehr geringen Fehlerkennungsrate. Ein Anstoßen expliziter Sicherheitstests ist hier nicht mehr erforderlich, wodurch sich diese Tools auch hervorragend für den Einsatz im Rahmen agiler Softwareentwicklungen und DevOps eignen.
Eine genauere Erläuterung zu zu IAST finden Sie in unserem Blog-Post.
Eine aktuelle Sicht auf diese Technologie und deren Abgrenzung zu anderen AST-Technologin findet sich hier.
Technische Details
- Einfache Installation & Handhabung
- Sehr wenige False Positives (siehe OWASP Benchmark)
- Analysen im Rahmen fachlicher Tests möglich (kein explizites Securitytesting erforderlich!)
- Sehr gut für agiles Testen und Continuous Deployment geeignet
- Sowohl als Cloud- als auch On-Premise-Variante verfügbar
- Identifiziert gängige Schwachstellen in Webanwendungen (z.B. Cross-site Scripting, SQL Injection) und Services/APIs
- Unterstützt (je nach Anbieter) neben Java- und .NET- inzwischen auch .NET Core, Python, Go, PHP sowie Node.JS-basierte Webanwendungen
- In Kombination mit RASP (Runtime Application Security Protection) auch um Schutzfunktion für Produktivbetrieb erweiterbar.