DAST- & SAST-Tools – was ist das?
Es ist nicht überraschend, dass sowohl SAST- als auch DAST-Tools in Zusammenhang mit der Absicherung von Softwarelieferketten wieder an Bedeutung gewinnen. Schließlich geben sie den Entwicklern die Werkzeuge an die Hand, um sicheren Code bereitzustellen – entweder als Teil eines offiziellen DevSecOps-Programms oder um die Verantwortung für die Security näher an den Ort der Anwendungsentwicklung zu verlagern. Sowohl SAST- als auch DAST-Tools haben das Ziel, den Code sicherer zu machen. Im Idealfall geschieht das lange bevor eine Anwendung in eine Produktionsumgebung gelangt und Teil der Softwarelieferkette wird. Dabei verfolgen die Tools dasselbe Ziel, gehen das Problem aber aus unterschiedlichen Blickwinkeln an:
-
SAST-Tools analysieren den Quellcode von Programmen und Anwendungen, die sich noch in der Entwicklung befinden. Sie lassen sich in eine CI/CD-Pipeline integrieren oder so konfigurieren, dass sie automatisch aktiv werden, wenn ein Entwickler eine Pull-Anfrage stellt. So können Tools für Static Application Security Testing sicherstellen, dass mit neuen Änderungen an einer Anwendung nicht unbeabsichtigt Schwachstellen hinzugefügt werden oder anderweitige Fehler entstehen. Einige SAST-Tools können auch Teil integrierter Entwicklungsumgebungen (IDE) werden. In diesem Fall warnt die Plattform die Entwickler während der Programmierarbeit vor Fehlern – ähnlich wie eine moderne Textverarbeitung mit Rechtschreibprüfung.
-
DAST-Tools werden im Gegensatz dazu eingesetzt, nachdem eine Applikation kompiliert ist. Ein Tool für Dynamic Application Security Testing ist weniger dazu gedacht, Schwachstellen im Code aufzudecken (die ein SAST Tool im Idealfall bereits beseitigt hat), sondern fungiert als externer Tester, der versucht, ein Programm beispielsweise über offene http- oder HTML-Schnittstellen zu hacken. Einige DAST-Tools können auch konfiguriert werden, um nach Schwachstellen für gängige Angriffe in bestimmten Branchen wie dem Finanzwesen oder dem Einzelhandel zu suchen.
Wegen der genannten Unterschiede müssen SAST-Tools die von Ihnen gewählte Programmiersprache unterstützen. Das Gros der DAST-Tools erfordert das nicht, obwohl diese Tools unter Umständen auch mit Quellcode arbeiten können, um Probleme zu lokalisieren. Während einige Unternehmen entweder ausschließlich ein DAST- oder ein SAST-Tool verwenden, empfiehlt es sich, eine Kombination aus beiden einzusetzen oder mit einem Tool zu arbeiten, das beide Komponenten enthält. Unternehmen, die das tun, sind in der Lage, ihre Applikationen besser zu schützen, was der Sicherheit der Softwarelieferkette insgesamt zuträglich ist.
Dynamic Application Security Testing Tools: Top 4
Im Folgenden finden Sie einige der wichtigsten DAST- und SAST-Tools, die heute zum Einsatz kommen.
