STATISCHE CODE-ANALYSE (SAST)
Statische Code-Analyse (SAST): finden Sie die Schwachstelle, bevor sie in Produktion geht
Quellcode-Review, das SAST-Tooling mit der manuellen Analyse eines Pentesters verbindet. Wir bringen die wirklich ausnutzbaren Fehler hervor, nicht Tausende Fehlalarme, und sagen Ihnen, welche Zeile zu korrigieren ist.
WARUM ES WICHTIG IST
Ein roher SAST-Scanner ertränkt das Team in Fehlalarmen
Automatische SAST-Tools erzeugen Hunderte Warnungen, von denen die meisten nicht tatsächlich ausnutzbar sind. Ein Team, das die rohe Tool-Ausgabe erhält, ertrinkt im Rauschen oder liest sie nicht mehr. Der Wert entsteht erst, wenn jemand die echten Fehler vom Rauschen trennt.
Ein Beispiel aus der Praxis: Unter Hunderten Tool-Alarmen betraf einer eine aus Nutzereingaben gebaute SQL-Abfrage in einer selten genutzten Exportfunktion. Es war der einzige wirklich gefährliche Fehler in diesem Durchlauf. Der Rest waren Fehlalarme, die von Hand verworfen werden mussten.
WAS WIR PRÜFEN
Von einer einzelnen Funktion bis zu den Abhängigkeiten
Den Umfang passen wir an die Sprachen und Frameworks Ihres Projekts an.
UNSER ANSATZ
Das Tool findet Kandidaten, ein Mensch bestätigt das reale Risiko
Wir führen SAST- und SCA-Tools aus, aber ihre Ausgabe ist nur ein Ausgangspunkt. Ein Pentester geht die Kandidaten durch, verwirft Fehlalarme und bestätigt, welche Fehler wirklich aus dem Nutzerdatenpfad erreichbar sind.
Wir betrachten den Code mit den Augen eines Angreifers, nicht nur mit den Regeln des Tools. Deshalb enthält der Bericht Fehler, die sich tatsächlich ausnutzen lassen, jeden mit Verweis auf eine konkrete Zeile und einem Korrekturvorschlag.
COMPLIANCE
Teil eines sicheren Entwicklungszyklus
Code-Review unterstützt die Anforderung sicherer Softwareentwicklung in Regulierungen und Standards.
STANDARDS & ZERTIFIZIERUNGEN
Wir arbeiten nach anerkannten Methodiken, nicht nach Bauchgefühl
Jedes Projekt wird von zertifizierten Pentestern durchgeführt und basiert auf öffentlichen Standards. So ist das Ergebnis wiederholbar, auditierbar und zwischen Anbietern vergleichbar.
Die vollständige Liste der Zertifizierungen und Standards stellen wir auf Anfrage bereit, zusammen mit einem Beispiel-Testumfang.
SO GEHEN WIR VOR
Ein wiederholbarer Code-Review-Prozess
NACHWEISE
Zahlen hinter jedem Versprechen
Jeder Test wird von zertifizierten Pentestern durchgeführt, und wir dokumentieren das Ergebnis mit Reproduktionsschritten, Nachweisen und einem verifizierten Behebungsweg. Nachweis, kein Versprechen.
WISSEN
Quellcode-Audit in der Praxis
Was ein Code-Audit ist und was ein Penetrationstest
Ein Quellcode-Audit analysiert die Anwendung von innen: Wir lesen den Code und sehen Schwachstellen, die von außen schwer oder gar nicht zu erkennen sind. Es ergänzt einen Penetrationstest, der das laufende System aus Angreiferperspektive betrachtet.
Der Zugang zum Code gibt ein vollständigeres Bild der Ursachen, nicht nur der Symptome. Statt zu raten, warum etwas verwundbar ist, benennen wir die genaue Datei, Funktion und Zeile, in der das Problem liegt.
Wie wir Werkzeuge mit manueller Analyse verbinden
SAST-Werkzeuge durchsuchen große Codebasen schnell, erzeugen aber viele Fehlalarme und verstehen keine Geschäftslogik. Daher behandeln wir ihre Ergebnisse als Ausgangspunkt, nicht als Endergebnis.
Jeden wesentlichen Fund prüfen wir manuell und beurteilen, ob er im Anwendungskontext wirklich ausnutzbar ist. Wir analysieren auch Datenflüsse, Autorisierung und die Stellen, an denen die Automatik scheitert.
Was der Code zeigt, was die Außensicht verbirgt
Im Code treten eingebettete Geheimnisse, schwache Kryptografie, unsichere Nutzung von Abfragen und Deserialisierung sowie Fehler in der Berechtigungslogik zutage. Einige sind in einem Black-Box-Test fast unsichtbar, weil sie sich ohne Kenntnis der Interna nicht auslösen lassen.
Wir prüfen auch Abhängigkeiten und Drittbibliotheken, die oft das schwächste Glied sind. Eine bekannte Schwachstelle in einer Drittkomponente kann die Anwendung öffnen, selbst wenn der eigene Code korrekt geschrieben ist.
Was Sie erhalten und wann ein Audit sinnvoll ist
Der Bericht ordnet jeden Fund einem konkreten Codeabschnitt zu, mit Risikobewertung und einer Behebungsempfehlung, die ein Entwicklungsteam versteht. Wo möglich, weisen wir auf ein Muster hin, das sich an vielen Stellen zugleich beheben lässt.
Ein Code-Audit sollten Sie in den Entwicklungszyklus einbauen: bei wesentlichen Änderungen, vor der Freigabe kritischer Funktionen und als Sicherheits-Gate in der CI. Je früher wir einen Fehler finden, desto günstiger ist die Behebung.
FAQ
Die häufigsten Fragen
Brauchen Sie den Quellcode?
Welche Sprachen unterstützen Sie?
Wie unterscheidet sich SAST von einem App-Test?
Ist der Retest inklusive?
VERWANDT
Verwandte Beiträge
- Was kostet ein Penetrationstest? Woraus sich der Preis zusammensetzt und worauf Sie achten sollten
- Penetrationstest oder Schwachstellenanalyse: worin sie sich unterscheiden
- Der Umfang eines Penetrationstests: die eine Seite, die entscheidet, ob der Test sein Geld wert war
- Umfang eines Penetrationstests
- Warum CVSS-Werte oft die tatsächliche Bedrohung verfehlen
REFERENZEN
Referenzen in diesem Bereich
REFERENZEN
“Das Projekt wurde professionell und termingerecht umgesetzt, mit gutem Verständnis für Technik und Geschäft. Ihre Cybersicherheits-Expertise und der partnerschaftliche Ansatz haben uns beeindruckt.”
















