Softwaresecurity

Application Security Testing

Wie würde Ihre Software einer Sicherheitsüberprüfung standhalten? Wie viele Sicherheitslücken hat Ihre Software?
Wie viele davon kennen Sie tatsächlich? Wie viele davon finden andere und nutzen sie womöglich auf schädliche Weise aus?

Wäre es nicht schön, möglichst viele dieser Probleme bereits im Entwurf und in der Entwicklung zu erkennen und zu beseitigen? Wie machen das andere z.B. die großen der Branche wie Microsoft, Google, oder Amazon, tausende oder zehntausende Bugs zu finden? Und wie ließe sich das auf den eigenen Maßstab übertragen?

Eine Lösung für diesen Problembereich heißt Application Security Testing (AST).
AST Techniken helfen, Ihre Software sicherer und robuster zu machen.

Techniken

Source Composition Analysis

 Analyse ihrer bestehenden Projekte auf Quellcodebasis. Dadurch erhalten Sie eine Übersicht der in Ihrem Unternehmen eingesetzten Software, Toolchains und Bibliotheken. Sie können Informationen erhalten über Updates von genutzten OSS Lizenzen, deren Kompatibilität und möglichen Sicherherheitslücken.


Dadurch wird eine bessere Abschätzung möglicher Maßnahmen zur Gewährleistung der Sicherheit ihrer Software möglich.
Ebenso können Compliancerichtlinien beim Einsatz von OSS Lizenzen überprüft werden, bzw. deren Grundlage geschaffen.

Fuzzing

Durch den Einsatz von Standard Security Tools können bekannte Standard Fehler entdeckt werden. Der Einsatz von Fuzzing erlaubt es, auch unbekannte Fehler zu entdecken. Durch eine gleichzeitige Automatisierung werden Faktoren wir Zeitdruck, Prioritätsprobleme oder fehlendes Knowhow vermieden.
Die Entwickler können die Ergebnisse später schon aufbereitet auswerten bzw. in ihre tägliche Arbeit einfließen lassen.


Der Einsatz von Fuzzing ist bei führende Technologieunternehmen bereits etabliert. So konnten durch Einsatz von Fuzzing viele Bugs und Sicherheitslücken entdeckt werden.



  • 1.800 bugs and vulnerabilities in Microsoft Office

  • 11.687 bugs and vulnerabilities in Linux

  • 27.000 bugs and vulnerabilities in Google Chrome & OSS

DevSecOps

Um Verbesserungen in der Softwaresicherheit auch während der Weiterentwicklung Ihres Produktes zu gewährleisten, beraten und unterstützen wir Sie gerne bei der Einführung, Aufbau oder Verbesserung von CI/CD Systemen (Continuous Integration/Continuous Delivery Systemen) bis zur Durchführung von automatisiertem Application Security Testing.


Application Security Audit

Damit Sie einen ersten Eindruck über den Zustand Ihrer Software, dem eingesetzten Entwicklungsprozess und der verwendeten Toolchain erhalten, bieten wir Ihnen unser Application Security Audit an.
Unser Application Security Audit beinhaltet eine erste
Untersuchung Ihrer Software und Ihrer Toolchain. Nach Abschluss dieser Untersuchung erhalten Sie eine Übersicht aller unserer gefunden Fehler und Probleme, eine Einschätzung Ihrer Toolchain in Bezug auf Security und Vorschläge für mögliche Verbesserungen.

Gerne unterstützen wir Sie auch bei der Umsetzung von Regressionstests, auch für die gefundenen Ergebnisse während des gemeinsamen Audits.

Damit erreichen Sie eine solide Basis für die stetige Weiterentwicklung Ihrer Software.