Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

STATISCHE CODE-ANALYSE (SAST)

Statische Code-Analyse (SAST): finden Sie die Schwachstelle, bevor sie in Produktion geht

Quellcode-Review, das SAST-Tooling mit der manuellen Analyse eines Pentesters verbindet. Wir bringen die wirklich ausnutzbaren Fehler hervor, nicht Tausende Fehlalarme, und sagen Ihnen, welche Zeile zu korrigieren ist.

SAST-Tooling plus manuelles Code-ReviewWir filtern Fehlalarme, reale Fehler bleibenWir zeigen die exakte Zeile und KorrekturAbgebildet auf CWE und OWASP ASVS

WARUM ES WICHTIG IST

Ein roher SAST-Scanner ertränkt das Team in Fehlalarmen

Automatische SAST-Tools erzeugen Hunderte Warnungen, von denen die meisten nicht tatsächlich ausnutzbar sind. Ein Team, das die rohe Tool-Ausgabe erhält, ertrinkt im Rauschen oder liest sie nicht mehr. Der Wert entsteht erst, wenn jemand die echten Fehler vom Rauschen trennt.

Ein Beispiel aus der Praxis: Unter Hunderten Tool-Alarmen betraf einer eine aus Nutzereingaben gebaute SQL-Abfrage in einer selten genutzten Exportfunktion. Es war der einzige wirklich gefährliche Fehler in diesem Durchlauf. Der Rest waren Fehlalarme, die von Hand verworfen werden mussten.

WAS WIR PRÜFEN

Von einer einzelnen Funktion bis zu den Abhängigkeiten

01
Injection im Code
Stellen, an denen Nutzerdaten ohne Kontrolle in Abfragen, Befehle und Templates gelangen.
02
Geheimnisse im Repo
Passwörter, API-Schlüssel und Tokens, eingebettet in Code und Commit-Historie.
03
Kryptografie
Schwache Algorithmen, Eigenimplementierungen und Fehlnutzung von Krypto-Bibliotheken.
04
Autorisierungslogik
Fehlende oder fehlerhafte Berechtigungsprüfungen auf Code-Ebene.
05
Abhängigkeiten (SCA)
Verwundbare Bibliotheken und Drittkomponenten im Abhängigkeitsbaum.
06
Gefährliche Funktionen
Deserialisierung, dynamische Ausführung und andere Hochrisikomuster.

Den Umfang passen wir an die Sprachen und Frameworks Ihres Projekts an.

UNSER ANSATZ

Das Tool findet Kandidaten, ein Mensch bestätigt das reale Risiko

Wir führen SAST- und SCA-Tools aus, aber ihre Ausgabe ist nur ein Ausgangspunkt. Ein Pentester geht die Kandidaten durch, verwirft Fehlalarme und bestätigt, welche Fehler wirklich aus dem Nutzerdatenpfad erreichbar sind.

Wir betrachten den Code mit den Augen eines Angreifers, nicht nur mit den Regeln des Tools. Deshalb enthält der Bericht Fehler, die sich tatsächlich ausnutzen lassen, jeden mit Verweis auf eine konkrete Zeile und einem Korrekturvorschlag.

COMPLIANCE

Teil eines sicheren Entwicklungszyklus

Code-Review unterstützt die Anforderung sicherer Softwareentwicklung in Regulierungen und Standards.

DORA / NIS2
Sicherheit im Entwicklungszyklus als Teil des ICT-Risikomanagements.
ISO 27001
Sichere Entwicklung (A.8) als erforderlicher Teil des Systems.
OWASP ASVS
Verifizierung von Code gegen konkrete Anforderungen der Anwendungssicherheit.

STANDARDS & ZERTIFIZIERUNGEN

Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl

Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.

Zertifizierungen des Teams
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
OSCPOSCPOffSec
OSEPOSEPOffSec
OSWEOSWEOffSec
OSEDOSEDOffSec
OSWAOSWAOffSec
OSWPOSWPOffSec
BSCPBSCPPortSwigger
CPTSCPTSHack The Box
CBBHCBBHHack The Box
CWEECWEEHack The Box
CRTOCRTOZero-Point Security
CREST CRTCREST CRTCREST
CREST CPSACREST CPSACREST
ISO 27001 LAISO 27001 LAISO/IEC
Azure Security EngineerAzure Security EngineerMicrosoft
Security Operations AnalystSecurity Operations AnalystMicrosoft
Security AdministratorSecurity AdministratorMicrosoft
Methodiken
OWASP Code Review GuidePTES
Verifizierungsstandards
OWASP ASVS 5.0.0CWE
Umfang
SASTSCA (Abhängigkeitsanalyse)Manuelles Code-Review

Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.

SO GEHEN WIR VOR

Ein wiederholbarer Code-Review-Prozess

01
Scoping
Wir vereinbaren Repositories, Sprachen und kritische Module, bevor wir starten.
02
Tool-Analyse
Wir führen SAST und SCA aus, um Kandidaten zur Verifizierung zu sammeln.
03
Manuelles Review
Wir bestätigen reale Fehler und verwerfen Fehlalarme.
04
Risikobewertung
Wir bilden Funde auf CWE und ASVS ab und setzen Prioritäten.
05
Bericht und Retest
Wir liefern einen Bericht mit Korrekturen und bestätigen nach der Umsetzung, dass sie wirken.

NACHWEISE

Zahlen hinter jedem Versprechen

Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.

500+
durchgeführte Sicherheitstests und Audits
5.0
Durchschnittsbewertung aus 10 verifizierten Clutch-Bewertungen
20+
offensive Zertifizierungen im Team
01
Zertifiziertes Team
20+ offensive Zertifizierungen im Team (OSCP, OSEP, OSWE, CREST). Tests führen unsere Leute durch, keine anonymen Subunternehmer.
02
Manuelle Tests
Wir arbeiten von Hand nach PTES und OWASP und führen scheinbar kleine Fehler zu einem realen, belegten Angriffspfad zusammen.
03
Nachweis statt Versprechen
Jeder Fund mit Reproduktionsschritten und einem funktionierenden Nachweis. Ein Bericht, der vor dem Auditor standhält.
04
Retest inklusive
Nach Umsetzung der Korrekturen bestätigen wir schriftlich, dass die Lücken geschlossen sind. Wir verschwinden nicht nach dem PDF.

WISSEN

Quellcode-Audit in der Praxis

Was ein Code-Audit ist und was ein Penetrationstest

Ein Quellcode-Audit analysiert die Anwendung von innen: Wir lesen den Code und sehen Schwachstellen, die von außen schwer oder gar nicht zu erkennen sind. Es ergänzt einen Penetrationstest, der das laufende System aus Angreiferperspektive betrachtet.

Der Zugang zum Code gibt ein vollständigeres Bild der Ursachen, nicht nur der Symptome. Statt zu raten, warum etwas verwundbar ist, benennen wir die genaue Datei, Funktion und Zeile, in der das Problem liegt.

Wie wir Werkzeuge mit manueller Analyse verbinden

SAST-Werkzeuge durchsuchen große Codebasen schnell, erzeugen aber viele Fehlalarme und verstehen keine Geschäftslogik. Daher behandeln wir ihre Ergebnisse als Ausgangspunkt, nicht als Endergebnis.

Jeden wesentlichen Fund prüfen wir manuell und beurteilen, ob er im Anwendungskontext wirklich ausnutzbar ist. Wir analysieren auch Datenflüsse, Autorisierung und die Stellen, an denen die Automatik scheitert.

Was der Code zeigt, was die Außensicht verbirgt

Im Code treten eingebettete Geheimnisse, schwache Kryptografie, unsichere Nutzung von Abfragen und Deserialisierung sowie Fehler in der Berechtigungslogik zutage. Einige sind in einem Black-Box-Test fast unsichtbar, weil sie sich ohne Kenntnis der Interna nicht auslösen lassen.

Wir prüfen auch Abhängigkeiten und Drittbibliotheken, die oft das schwächste Glied sind. Eine bekannte Schwachstelle in einer Drittkomponente kann die Anwendung öffnen, selbst wenn der eigene Code korrekt geschrieben ist.

Was Sie erhalten und wann ein Audit sinnvoll ist

Der Bericht ordnet jeden Fund einem konkreten Codeabschnitt zu, mit Risikobewertung und einer Behebungsempfehlung, die ein Entwicklungsteam versteht. Wo möglich, weisen wir auf ein Muster hin, das sich an vielen Stellen zugleich beheben lässt.

Ein Code-Audit sollten Sie in den Entwicklungszyklus einbauen: bei wesentlichen Änderungen, vor der Freigabe kritischer Funktionen und als Sicherheits-Gate in der CI. Je früher wir einen Fehler finden, desto günstiger ist die Behebung.

FAQ

Die häufigsten Fragen

Brauchen Sie den Quellcode?

Ja. SAST ist ein Code-Review, daher brauchen wir Repository-Zugriff. Alles ist durch eine Geheimhaltungsvereinbarung abgedeckt.

Welche Sprachen unterstützen Sie?

Die gängigsten Backend- und Frontend-Sprachen. Den genauen Umfang bestätigen wir im Scoping.

Wie unterscheidet sich SAST von einem App-Test?

SAST analysiert den Code von innen, ein Pentest greift die laufende App von außen an. Die Kombination beider liefert das beste Ergebnis.

Ist der Retest inklusive?

Ja. Nach der Behebung verifizieren wir die angegebenen Stellen im Code erneut.

VERWANDT

Verwandte Beiträge

REFERENZEN

Referenzen in diesem Bereich

REFERENZEN

“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”

ERSTER SCHRITT

Starten Sie mit einer kostenlosen Beratung

Sagen Sie uns, was Sie testen möchten. Innerhalb von 24 Stunden erhalten Sie einen Vorschlag zum Umfang und zu den nächsten Schritten. Sie sprechen mit einem Berater, der die technische Seite versteht, nicht mit einem Verkäufer.

Kontakt aufnehmen
Unverbindlich · Antwort innerhalb von 24 Stunden · Ihre Daten bleiben vertraulich
Methodik
PTES · OWASP
Team
20+ Zertifizierungen
Bewertung
5.0 auf Clutch
Das erhalten Sie
Ein auf Ihr Risiko zugeschnittener Umfangsvorschlag
Ein Bericht mit Nachweisen und Reproduktionsschritten
Behebungsprioritäten nach realer Auswirkung
Ein Retest nach Umsetzung der Korrekturen
Asia, ElementricaKacper, ElementricaGrzesiek, Elementrica
Jemand aus unserem Team führt das Gespräch, und wir melden uns innerhalb von 24 Stunden. Keine Bots, kein Callcenter.