:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/2b/d2/2bd2a2bd745944b0a97df82c87881ddd/0110190340.jpeg "Golem Network will mit zwei experimentellen Dapp-Tools das Betreiben und Verwalten dezentraler Anwendungen vereinfachen. (Bild: Golem Network)")
:quality(80)/p7i.vogel.de/wcms/97/b4/97b4512d8bdd22fc625025679b63de85/0109465154.jpeg "Kunden erwarten heute, dass Anwendungen auch auf mobilen Endgeräten funktionieren. (Bild: © – tippapatt – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/53/8453e9510c0b5ec232436c67b757ec4c/0109343935.jpeg "Die Nonce sorgt für Ordnung innerhalb einer Blockkette, lässt sich aber auch aktiv für sicherheitsrelevante Aktivitäten nutzen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/04/68/04689667589ad630b19fe77b9a7babc7/0109404868.jpeg "Mit Effekten von Motion-UI kann jedes Unternehmen seine Produktbereitstellungsquoten schnell verbessern. (Bild: <a href=https://github.com/foundation/motion-ui>Foundation CSS auf GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/c6/14/c614e97ce76ae02ed694f2660dee3efc/0110374544.jpeg "WebGoat ist eine bewusst unsicher konzipierte Docker-Anwendung. (Bild: © – anttoniart – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/12/b4126a87dc658d03d79de40f241b3738/0110245419.jpeg "Beim „Green Coding“ geht es darum, Software möglichst energieeffizient und damit nachhaltig zu programmieren. (Bild: © – ArtemisDiana – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/e7/0fe7f900a0b01f30902f3c7209857b5e/0110554825.jpeg "Jörg Noack, Consol: „DevOps ist nichts, was Unternehmen allgemein und Entwickler-Teams speziell ‚on the run‘ umsetzen können.“ (Bild: Consol)")
:quality(80)/p7i.vogel.de/wcms/06/8b/068b715609066fc32136cb84cba7787e/0110333503.jpeg "Die Architektur der Microsoft AKS Edge Essentials. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/7f/47/7f47414337bafb5fa6a0cac40dce6101/0109278962.jpeg "Die Möglichkeiten von Sysbox im Überblick. (Bild: <a href=https://github.com/nestybox/sysbox/tree/master/docs/figures>Nestybox via GitHub</a>)")
:quality(80)/p7i.vogel.de/wcms/92/74/9274f298d0379fd1f70425c82054160b/0110295392.jpeg "In der echten Welt sind Container solide Storage-Einheiten. In der IT benötigen Container zusätzlichen Storage, da sie selbst nur flüchtige Software-Einheiten darstellen. (Bild: Achim Banck - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b1/28/b1280f3563f48b0d3f49ec4c0f5c116c/0109915179.jpeg "Pure Storage sorgt mit dem Observability and Monitoring Service für optimierte Transparenz in IT-Umgebungen. (Bild: Pure Storage)")
:quality(80)/p7i.vogel.de/wcms/79/e6/79e65075f5eca3f177c438b5d5778240/0109951044.jpeg "Die fehlende Kommunikation ist mittlerweile kein ernsthaftes Gegenargument mehr für eine Outsourcing-Strategie. (Bild: <a href=https://www.pexels.com/@thisisengineering/>ThisIsEngineering</a>)")
:quality(80)/p7i.vogel.de/wcms/4d/76/4d763e8fab15113bc86a1b3a0ea99808/0110053611.jpeg "Cloud-gestützte Anwendungen machen Betriebsstrukturen schnell agil und modern. Damit werden Unternehmen vor allem für die Generation Z attraktiv. (Bild: tomertu - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/08/67/0867f5079d087a7e6c9b612322112040/0109901530.jpeg "DevOps-orientiertes Testdaten-Management bietet Datenmaskierung und weitere Ansätze, Compliance-Probleme zu lösen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/16/04/160481e1af171c4e5f385bf8eb9eb6ae/0110498754.jpeg "Oracle stellt in Zusammenarbeit mit der OpenJDK-Community alle sechs Monate eine neue Version des Oracle Java Development Kit bereit. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/83/f4/83f4d78d8c458f643ef395a9898bba69/0109842805.jpeg "Databricks hat eine Visual Studio (VS) Code Extension vorgestellt. (Bild: Screenshot / Databricks)")
:quality(80)/p7i.vogel.de/wcms/a3/51/a351a0c0c6dad9d13c882bd69ee6ca42/0110012670.jpeg "Modelldatei zur Repräsentation des Schemas. (Bild: Krypzcyk & Bochkor / DbSchema)")
:quality(80)/p7i.vogel.de/wcms/b4/a6/b4a61bbbfe9a9cf25c84765622ea0158/0110026310.jpeg "Tabnine kann Code mithilfe von Anweisungen in menschlicher Sprache generieren und vervollständigen. (Bild: <a href=https://www.tabnine.com/>Tabnine</a>)")
:quality(80)/p7i.vogel.de/wcms/8c/69/8c69011ea441f70be8b619b91f24d294/0110241904.jpeg "Einstein GPT ist laut Salesforce die erste generative KI für CRM. (Bild: Salesforce)")
:quality(80)/p7i.vogel.de/wcms/64/91/6491be5132b77668c299ce6e466ca14c/0109296609.jpeg "Microcontroller-Boards gibt es zuhauf, wir stellen einige Arduino-Alternativen vor. (Bild: <a href=https://pixabay.com/users/aakelner-9429309/>Alexander Kelner</a>)")
:quality(80)/p7i.vogel.de/wcms/05/0c/050cfe1ed1cc65b9a2e833c213a7edb0/0110021783.jpeg "Hinter Alphacode steht die Google-Tochter Deepmind. (Bild: <a href=https://alphacode.deepmind.com>Deepmind</a>)")
:quality(80)/p7i.vogel.de/wcms/7f/91/7f918bdb2e099f671f8eaa9ecb9ac694/0109877739.jpeg "GitHub Copilot nutzt den OpenAI Codex, um Code und ganze Funktionen direkt im Editor in Echtzeit vorzuschlagen. (Bild: GitHub)")
:quality(80)/p7i.vogel.de/wcms/72/2d/722d078bf7612e2a6d5d78a07977816d/0109865835.jpeg "KI-basierte Assistenz ist beim Programmieren aktuell für konkrete Anfragen sinnvoll und hält Developern bei Problemen den Rücken frei. (Bild: <a href=https://pixabay.com/users/computerizer-4588466/>Computerizer</a>)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
:quality(80)/p7i.vogel.de/wcms/f2/f1/f2f169cdcb2cd6e79ecb1d0a4c4cea24/0105427462.jpeg "IoT-Hersteller müssen ihre Geräte schnell und innerhalb des Budgets bereitstellen sowie gleichzeitig deren Sicherheit und Fernverwaltung gewährleisten. (Bild: Canonical)")
:quality(80)/images.vogel.de/vogelonline/bdb/1936900/1936970/original.jpg "Ablauf der Kubeflow-Installation in einer konformen Kubernetes-Umgebung. (charmed-kubeflow.io)")
Definition „Interactive Application Security Testing“ Was ist IAST?
Beim Interactive Application Security Testing handelt es sich um ein spezielles Verfahren, um die Sicherheit von Web-Applikationen zu verbessern. Der Scanner beobachtet das Verhalten der Anwendung in Echtzeit. Dieses Konzept gilt als sehr zuverlässig.
Die englischen Vokabeln „Interactive Application Security Testing“ (IAST) bedeuten frei übersetzt „interaktives Testen der Sicherheit von Anwendungen“. Konkret handelt es sich um Scanner, die das Verhalten der entsprechenden Apps in Echtzeit beobachten. Dieser Live-Charakter wird durch das „interaktiv“ unterstrichen.
Die Scanner analysieren bei ihren Tests der Anwendungen sowohl das Geschehen von außen (Runtime, Konfigurationen, etc.) wie auch von innen (Codezeilen). IAST ist deshalb ein White-Box-Verfahren, da der Code für die Scanner zugänglich ist.
Die Unterschiede von IAST zu SAST und DAST
Interaktives Application Security Testing ist im Prinzip ein Hybrid aus den statischen (SAST) und den dynamischen Sicherheitstests (DAST). SAST-Scanner fokussieren sich auf den Code und kommen frühzeitig in der Entwicklung zum Einsatz. DAST-Tools simulieren Angriffe auf laufende Anwendungen. Sie arbeiten deshalb erst später im Entwicklungszyklus.
Eigentlich lassen sich diese Aufgaben nicht über eine Lösung abdecken, da die für externe Attacken vorgesehenen Angriffsroutinen im System anschlagen würde. Um diese Funktionen dennoch gemeinsam abzudecken, arbeiten IAST-Werkzeuge mit Software-Agenten sowie Sensoren. Die Herangehensweise ist deshalb etwas anders als bei SAST und DAST.
Mit Blick auf den Code berichten die Sensoren, ob die Zeilen in der Ausführung vom erwarteten Verhalten abweichen. In der statischen Analyse suchen die Scanner nach bekannten Mustern im Code, die auf Schwachstellen hindeuten. Für den externen Bereich funktioniert das Interactive Application Security Testing im Prinzip identisch: Software-Agenten werten das Verhalten der Anwendung in bestimmten automatisierten Testsituationen aus. Dynamische Tests sind simulierte Angriffe, die von außen durchgeführt werden.
IAST kann sowohl in der Entwicklung wie auch der in der Qualitätssicherungs- und Testphase eingesetzt werden. Oft dient es ebenfalls nachlaufend der Weiterentwicklung bestehender Anwendungen. Durch die andere Herangehensweise vom IAST entstehen bestimmte Vor- und Nachteile im Vergleich mit SAST und DAST.
Vorteile von IAST im Vergleich mit DAST und SAST
- Ergebnisse werden in Echtzeit geliefert. Insbesondere DAST-Scanner brauchen sehr lange, um ihre Analysen abzuschließen.
- IAST-Tools weisen eine nur sehr geringe Rate an falsch positiven Ergebnissen auf. SAST-Werkzeuge haben mit diesem Problem oft zu kämpfen.
- Es ist kein Expertenwissen notwendig, um die Scanner zu benutzen. DAST-Tools werden von Spezialisten geschrieben und können nur von diesen verändert werden.
- Die Lösungen sind im hohen Maße skalierbar.
- Das Testen lässt sich weitgehend automatisieren – einschließlich der Berichtserstellung.
- Existierende Testfälle können mehrfach genutzt werden. Es besteht kein Bedarf, neue Skripte zu schreiben.
- Viele Fehler werden bereits frühzeitig gefunden, weshalb die Kosten für die Problembehebung sinken.
- Da der Code zugänglich ist, können IAST-Scanner oft auch aufzeigen, weshalb ein Problem besteht. DAST-Lösungen können dies nicht.
- IAST-Analysen stört andere Prozesse nicht. Anwendungen können normal genutzt werden.
Nachteile von IAST im Vergleich mit den anderen Konzepten
Viele Experten sind in der Ansicht, dass IAST-Lösungen überhaupt keine Nachteile im Vergleich zu den anderen Konzepten haben. Sie hätten keine nennenswerten Schwächen. Dies ist allerdings nicht korrekt. Mit einigen Problemen haben diese Instrumente ebenfalls zu kämpfen:
- Die Analysetiefe ist geringer als bei SAST und DAST, um Echtzeit-Ergebnisse zu liefern.
- Es dauert länger, bis die Scanner darauf trainiert sind, neue Bedrohungen zu erkennen.
- Die IAST-Lösungen verlangen ein hohes Maß an Individualisierungen. Dies gilt beispielsweise für die Scanner, die nicht erwartetes Verhalten von Code während der Ausführung melden.
IAST ist das letzte Puzzleteil – aber nicht das ganze Bild
Wer die Vorteile vom Interactive Application Security Testing liest, entwickelt schnell die Idee, dass dieses Verfahren für die Sicherheitstests genügt. Schließlich deckt es alle Felder ab und arbeitet zuverlässig. Durch die geringere Analysetiefe und die Verzögerungen, bevor die Scanner neue Bedrohungen erkennen können, ist dies jedoch nicht der Fall. IAST-Tools sind das letzte (und oft wichtigste) Puzzleteil zur Optimierung der Sicherheit einer Web-Applikation. SAST und DAST sollten ebenfalls zum Einsatz kommen.
(ID:47267113)
:quality(80)/images.vogel.de/vogelonline/bdb/1896600/1896690/original.jpg "Wenn es um die Sicherheit der eigenen Apps geht, sind Unternehmen sparsam. (Wellnhofer Designs - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1931800/1931805/original.jpg "Je besser Security und DevOps verzahnt sind, desto schneller können Features bereitgestellt werden. (Alex – stock.adobe.com)")