Zum Inhalt springen

Ein Tool zur Analyse des Quellcodes von Webanwendungen auf Sicherheitsprobleme untersucht den gesamten Code, inklusive aller dazugehörigen HTML- und Konfigurationsdateien. Es bereitet die Ergebnisse in einer für Verantwortliche und Entwickler leicht verstehbaren Form auf und stellt sie zur nahtlosen Einbindung in die Entwicklungs- und Qualitätssicherungsprozesse zur Verfügung. Wir setzen den Marktführer Fortify ein.

Die Automatische Sourcecodeanalyse als Methode zur Prüfung der Sicherheit stellt eine - häufig bessere - Alternative zum Penetrationstest dar, oder liefert in Kombination mit diesem die maximale Leistung. Die Möglichkeiten des Einsatzes dieses Mittels sind sehr breit und reichen vom schnellen Scan mit hoher Aussagekraft bis hin zur Integration in den gesamten Software Development Lifecycle (SDLC). Lassen Sie sich von uns beraten, wie Sie dieses leistungsfähige Mittel für sich nutzen, um Ihre Webanwendungen nachhaltig sicher zu machen und den besten Tradeoff zwischen Kosten und Sicherheit zu erzielen.

Wir bieten diese Tests an:

Quicktest SCA Dieser Test hat das Ziel, mit minimalem Aufwand einen Grundschutz für die jeweils betrachtete Webanweung herzustellen.
  • Sie übermitteln uns den Sourcecode oder wir kommen zu Ihnen ins Haus (Die Anwendung liegt in buildfähigem Zustand vor).
  • In einem Vorgespräch klären wir den Schutzbedarf und ermitteln Ihre Anforderungen und Ihre Zielsetzung.
  • Wir analysieren die Anwendung mit Fortify SCA.
  • Wir bewerten die Findings entsprechend den vorab festgestellten Vorgaben und
  • ... übergeben Ihnen den Ergebnisbericht.

Integrierte Analyse SCA/Pentest Bei diesem Test verbinden wir die Leistungsfähigkeit der Automatischen Sourcecodeanalyse (siehe Quicktest SCA) mit den Vorteilen eines Penetrationstests und erreichen so ein Analyseergebnis, welches ein Maximum an Sicherheit liefert.

Umfassende codebasierte Web Application Security Wir beraten Sie umfassend, wie Sie den mächtigsten Ansatz zur Herstellung von sicheren Webanwendungen, die codebasierte und toolgestützte Sourcecodeanalyse, für sich nutzbar machen. Dabei betrachten wir u.a.
  • Abgrenzung zu bzw. Einbindung von anderen Maßnahmen der Web Application Security
  • Integrationsmöglichkeiten in den Software Development Lifecycle (SDLC)
  • Auswirkungen auf Releaseprozesse
  • Verbesserung anderer Merkmale der Softwarequalität
  • Verbesserung des Skill-Levels der Entwickler in Sachen Entwicklung sicherer Webanwendungen

Darüber hinaus stellen wir Ihnen unsere Fortify-Experten gerne zur Verfügung, falls Sie dieses Produkt bereits besitzen und Unterstützung - etwa beim Deployment oder der Durchführung von Tests - benötigen.

Sourcecodeanalyse versus Penetrationstest

Sourcecodeanalyse versus Penetrationstest

Automatische Sourcecodeanalyse und Penetrationstests haben beide ihre Stärken - auf den richtigen Einsatz kommt es an! Hier einige Merkmale dieser Ansätze:

Automatische Sourcecodeanalyse

  • Systematischer, umfassender Ansatz
  • Die Beschreibung der gefundenen Schwachstellen und die Maßnahmenempfehlungen sind in der Sprache des Entwicklers
  • Abdeckung der Analyse ist nachvollziehbar, zumeist Vollabdeckung
  • Liefert Aussagen bereits während der Entwicklung
  • Komponententests sind möglich
  • Leistet einen effektiven Beitrag zur Schulung der Entwickler
  • Sicherheitswissen wird Teil des Projektes bzw. der ganzen Organisation, nicht einzelner Personen
  • Findet Schwachstellen, die ein Penetrationstest nicht auffinden kann

Penetrationstest/Externe Analyse

  • Bezieht das Gesamtsystem (Webserver etc.) in die Untersuchung mit ein
  • Leichte Durchführbarkeit
  • Findet Schwachstellen, die eine Sourcecodeanalyse nicht oder nicht sicher auffinden kann