Mehr Fokus auf die Unterstützung von Entwicklern SAST-Report von Forrester veröffentlicht

Redakteur: Stephan Augsten

Static Application Security Testing – abgekürzt SAST – durchläuft gerade eine Evolution, vor allem wenn es um die User Experience für Entwickler geht. In einer aktuellen Marktübersicht geht Forrester auf die Kernfeatures ein und nennt wichtige Anbieter.

Firma zum Thema

Aktuelle SAST-Tools beziehen den Entwickler bei der Schwachstellensuche besser mit ein.
Aktuelle SAST-Tools beziehen den Entwickler bei der Schwachstellensuche besser mit ein.
(© tomfallen - stock.adobe.com)

Lange Zeit hatten SAST-Tools mit der Akzeptanz seitens der Entwickler zu kämpfen, wie der „The Forrester Wave“-Report unterstreicht – und zwar aus einem einfachen Grund: Sie wurden ursprünglich für Sicherheitsexperten entwickelt und vernachlässigten die Bedürfnisse der Entwickler. Mittlerweile hätten SAST-Anbieter ihre Denkweise geändert und bezögen den Entwickler als Hauptbeteiligten in den Prozess der Anwendungssicherheit mit ein.

Unternehmen müssten dementsprechend nach SAST-Lösungen Ausschau halten, die die CI/CD-Pipeline mit gängigen IDEs, Build-Tools und Code-Repositories integrieren. SAST-Lösungen sollten außerdem direkte Anleitungen zur Fehlerbehebung bieten sowie über das bestehende Toolset des Entwicklers passende Code-Beispiele und interaktive Schulungen bieten.

Trends wie Cloud-native Entwicklung, Container und Microservices samt API-Integration sowie Low-Code-Entwicklung hätten zudem dazu geführt, dass Code nicht länger nur traditionell geschrieben wird. SAST-Tools sollten deshalb auch in diesen neuen Arten der Entwicklung und Bereitstellung berücksichtigen und entsprechenden Code nach Schwachstellen durchsuchen.

Die wichtigsten Anforderungen an SAST-Tools sind weiterhin Genauigkeit und Leistung, die sich in einer geringen Zahl an Fehlalarmen und kurzen Scan-Zeiten äußert. Ebenso wichtig ist aber laut Forrester auch darauf zu achten, welche Anpassungen erforderlich sind und wie die Scanleistung angesichts der Struktur und Architektur bestehender Anwendungen optimiert werden kann.

Alles in allem bleibe SAST ein essenzielles Mittel, um Schwachstellen in proprietärem Code zu beheben. Vor allem weil Angriffe auf Webanwendungen die Hauptursache für externe Sicherheitsverletzungen im Jahr 2020 waren. Im SAST-Report stellt Forrester die Lösungen von einem Dutzend Anbietern gegenüber: CAST, Checkmarx, GitHub, GitLab, HCL Software, Micro Focus, Parasoft, Perforce Software, SonarSource, Synopsys, Veracode und WhiteHat Security. Der Report dient somit als Grundlage, sich im SAST-Markt einen Überblick zu verschaffen. Veracode stellt den „The Forrester Wave“-Report zu Static Application Security Testing auf der eigenen Webseite zum Download zur Verfügung.

(ID:47066702)