:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883452/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Dev-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883900/1883949/original.jpg "Am 21. Oktober 2021 ab 13:00 Uhr erhalten die Gewinner der diesjährigen Leserwahl den Readers' Choice Dev-Insider Award 2021. (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/e8/a2/e8a2ed56eaea2f9670ac8bfbefe10cc7/0113533673.jpeg "Copy-and-paste- oder Clipboard-Programming kann sich sehr negativ auf die Code-Qualität auswirken. (Bild: <a href?https://pixabay.com/users/chenspec-7784448/>chenspec</a>)")
:quality(80)/p7i.vogel.de/wcms/b7/64/b76475ee2a6f7435d75f28607817522d/0114100897.jpeg "Der Erfolg des Apple App Store fußt auf der großen Anzahl hochqualitativer Apps – ein Merkmal, das Apple selbst kontrolliert. (Bild: <a href=https://unsplash.com/@maria_shalabaieva>Mariia Shalabaieva</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/5e/2b5e53a28c7068ca57358ee8c8b7e221/0114149037.jpeg "Das Java-21-Release ist das Ergebnis einer Zusammenarbeit zwischen Entwicklern von Oracle und der weltweiten Java-Developer-Community. (Bild: Oracle)")
:quality(80)/p7i.vogel.de/wcms/d9/4e/d94eaabfadf36353deeedf292c2bbb4a/0113966470.jpeg "GitLab hat rund 1000 Experten zum Stand der KI in der Softwareentwicklung befragen lassen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/20/a8/20a8a156f7da6e4f19c9243209dae51b/0113707453.jpeg "Die Zahl der Jenkins-Pipelines legte zwischen Juni 2021 und Juni 2023 deutlich zu. (Bild: Jenkins.io)")
:quality(80)/p7i.vogel.de/wcms/fa/66/fa667ce27d791e4d93731d0f17c58825/0113614284.jpeg "Freelance-Plattformen sollten nicht nur umfangreiche, sondern auch verlässliche Informationen über die Fähigkeiten der jeweiligen Entwickler bieten. (Bild: <a href=https://pixabay.com/users/oleksandrpidvalnyi-4638469/>Oleksandr Pidvalnyi</a>)")
:quality(80)/p7i.vogel.de/wcms/80/87/80875380ee678528982c0dcc073f0684/0114128044.jpeg "Die WSO2 API Platform for Kubernetes (APK) erweitert Kubernetes um API Management der Enterprise-Klasse. (Bild: WSO2)")
:quality(80)/p7i.vogel.de/wcms/31/3b/313b3faf1332dfba60bc4ab6867ae2f2/0113479952.jpeg "Durch den Einsatz der neuen APIs könnten Lucid-Anwender und -Partner verstärkt visuell zusammenarbeiten und so bestehende Arbeitsabläufe verbessern. (Bild: Lucid)")
:quality(80)/p7i.vogel.de/wcms/73/e2/73e2407821e9b97926d18c786b43a1dc/0113715722.jpeg "Rendered Text hat sich Gedanken zu den 12 besten Kubernetes-Tools gemacht. (Bild: <a href=https://unsplash.com/@growtika>Growtika</a>)")
:quality(80)/p7i.vogel.de/wcms/6b/e3/6be36ef98e76a698de9c93b777c7b38f/0113606383.jpeg "Kollaborativ, ressourcenschonend, transparent: Open-Source-Code folgt in vielerlei Hinsicht dem Gedanken der Nachhaltigkeit. (© weerapat1003 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/d5/93d5fd1b87f3649ef503933d229c71dc/0113760310.jpeg "Kein Grund mehr zu kämpfen: Die Frage, ob quelloffener Code sicherer als proprietärer Code ist, stellt sich eigentlich gar nicht mehr. (Bild: <a href=https://pixabay.com/users/tenleaf-6286534/>Yingnan Lu</a>)")
:quality(80)/p7i.vogel.de/wcms/1d/57/1d578f499e5af1dad699dc880b72e1ed/0113594566.jpeg "„Watsonx Code Assistant for Z“ von IBM soll Unternehmen dabei unterstützen, mit Hilfe von generativer KI und automatisierten Werkzeugen die Modernisierung ihrer Mainframe-Anwendungen voran zu bringen – mit dem Ziel, die Leistungsfähigkeit, Sicherheit und Ausfallsicherheit von „IBM Z“ zu erhalten. (Bild: frei lizenziert: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/7e/5a/7e5aac8b7041780b5065919ce0cbabf3/0113499457.jpeg "Zeremonielles Kreuz des „John Frum Cargo Cult“, auf der Insel Tanna im heutigen Vanuatu. (Bild: JohnFrumCrossTanna1967.jpg / Tim Ross - eigene Arbeit / CC BY 3.0)")
:quality(80)/p7i.vogel.de/wcms/d8/90/d890b7a3d8daf81956377a29a87efdd5/0113481871.jpeg "Das Scaled Agile Framework soll großen Unternehmen dabei helfen, agile Methoden zu adaptieren. (Bild: <a href=https://pixabay.com/users/snottyboggins-6421955/>SnottyBoggins</a>)")
:quality(80)/p7i.vogel.de/wcms/ec/0c/ec0cdde8e59873a426bf939ed52c38f3/0113355036.jpeg "Selbstbedienung ist beim Developer Self-Service ausdrücklich erwünscht. (Bild: <a href=https://pixabay.com/users/manfredrichter-4055600/><u>Manfred Richter</u></a>)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
Definition „Interactive Application Security Testing“ Was ist IAST?
Beim Interactive Application Security Testing handelt es sich um ein spezielles Verfahren, um die Sicherheit von Web-Applikationen zu verbessern. Der Scanner beobachtet das Verhalten der Anwendung in Echtzeit. Dieses Konzept gilt als sehr zuverlässig.
Die englischen Vokabeln „Interactive Application Security Testing“ (IAST) bedeuten frei übersetzt „interaktives Testen der Sicherheit von Anwendungen“. Konkret handelt es sich um Scanner, die das Verhalten der entsprechenden Apps in Echtzeit beobachten. Dieser Live-Charakter wird durch das „interaktiv“ unterstrichen.
Die Scanner analysieren bei ihren Tests der Anwendungen sowohl das Geschehen von außen (Runtime, Konfigurationen, etc.) wie auch von innen (Codezeilen). IAST ist deshalb ein White-Box-Verfahren, da der Code für die Scanner zugänglich ist.
Die Unterschiede von IAST zu SAST und DAST
Interaktives Application Security Testing ist im Prinzip ein Hybrid aus den statischen (SAST) und den dynamischen Sicherheitstests (DAST). SAST-Scanner fokussieren sich auf den Code und kommen frühzeitig in der Entwicklung zum Einsatz. DAST-Tools simulieren Angriffe auf laufende Anwendungen. Sie arbeiten deshalb erst später im Entwicklungszyklus.
Eigentlich lassen sich diese Aufgaben nicht über eine Lösung abdecken, da die für externe Attacken vorgesehenen Angriffsroutinen im System anschlagen würde. Um diese Funktionen dennoch gemeinsam abzudecken, arbeiten IAST-Werkzeuge mit Software-Agenten sowie Sensoren. Die Herangehensweise ist deshalb etwas anders als bei SAST und DAST.
Mit Blick auf den Code berichten die Sensoren, ob die Zeilen in der Ausführung vom erwarteten Verhalten abweichen. In der statischen Analyse suchen die Scanner nach bekannten Mustern im Code, die auf Schwachstellen hindeuten. Für den externen Bereich funktioniert das Interactive Application Security Testing im Prinzip identisch: Software-Agenten werten das Verhalten der Anwendung in bestimmten automatisierten Testsituationen aus. Dynamische Tests sind simulierte Angriffe, die von außen durchgeführt werden.
IAST kann sowohl in der Entwicklung wie auch der in der Qualitätssicherungs- und Testphase eingesetzt werden. Oft dient es ebenfalls nachlaufend der Weiterentwicklung bestehender Anwendungen. Durch die andere Herangehensweise vom IAST entstehen bestimmte Vor- und Nachteile im Vergleich mit SAST und DAST.
Vorteile von IAST im Vergleich mit DAST und SAST
- Ergebnisse werden in Echtzeit geliefert. Insbesondere DAST-Scanner brauchen sehr lange, um ihre Analysen abzuschließen.
- IAST-Tools weisen eine nur sehr geringe Rate an falsch positiven Ergebnissen auf. SAST-Werkzeuge haben mit diesem Problem oft zu kämpfen.
- Es ist kein Expertenwissen notwendig, um die Scanner zu benutzen. DAST-Tools werden von Spezialisten geschrieben und können nur von diesen verändert werden.
- Die Lösungen sind im hohen Maße skalierbar.
- Das Testen lässt sich weitgehend automatisieren – einschließlich der Berichtserstellung.
- Existierende Testfälle können mehrfach genutzt werden. Es besteht kein Bedarf, neue Skripte zu schreiben.
- Viele Fehler werden bereits frühzeitig gefunden, weshalb die Kosten für die Problembehebung sinken.
- Da der Code zugänglich ist, können IAST-Scanner oft auch aufzeigen, weshalb ein Problem besteht. DAST-Lösungen können dies nicht.
- IAST-Analysen stört andere Prozesse nicht. Anwendungen können normal genutzt werden.
Nachteile von IAST im Vergleich mit den anderen Konzepten
Viele Experten sind in der Ansicht, dass IAST-Lösungen überhaupt keine Nachteile im Vergleich zu den anderen Konzepten haben. Sie hätten keine nennenswerten Schwächen. Dies ist allerdings nicht korrekt. Mit einigen Problemen haben diese Instrumente ebenfalls zu kämpfen:
- Die Analysetiefe ist geringer als bei SAST und DAST, um Echtzeit-Ergebnisse zu liefern.
- Es dauert länger, bis die Scanner darauf trainiert sind, neue Bedrohungen zu erkennen.
- Die IAST-Lösungen verlangen ein hohes Maß an Individualisierungen. Dies gilt beispielsweise für die Scanner, die nicht erwartetes Verhalten von Code während der Ausführung melden.
IAST ist das letzte Puzzleteil – aber nicht das ganze Bild
Wer die Vorteile vom Interactive Application Security Testing liest, entwickelt schnell die Idee, dass dieses Verfahren für die Sicherheitstests genügt. Schließlich deckt es alle Felder ab und arbeitet zuverlässig. Durch die geringere Analysetiefe und die Verzögerungen, bevor die Scanner neue Bedrohungen erkennen können, ist dies jedoch nicht der Fall. IAST-Tools sind das letzte (und oft wichtigste) Puzzleteil zur Optimierung der Sicherheit einer Web-Applikation. SAST und DAST sollten ebenfalls zum Einsatz kommen.
(ID:47267113)
:quality(80)/p7i.vogel.de/wcms/8a/b7/8ab73d759aa238e8238384e82d534d5a/0103493527.jpeg "Im Zuge der Shift-Left-Strategie liegt das Augenmerk von Beginn an und durchgängig auf der Sicherheit. (Bild: TBIT)")
:quality(80)/p7i.vogel.de/wcms/5b/f2/5bf29ffbaac7922af883681a80143b3e/0108866144.jpeg "Angriffe auf die Software Supply Chain machen deutlich: Unternehmen können sich nicht mehr blind darauf verlassen, dass Code-Komponenten die sie nutzen auch sicher sind. (Bild: Eisenhans - stock.adobe.com)")