Automatisiertes Software Security Testing mit Fuzzing

Ein weiterer Ansatz ist das Feedback-basierte Fuzz Testing, auch Fuzzing genannt. Dies ist ein automatisiertes Testverfahren, das vor allem von großen Tech-Riesen wie Google genutzt wird. Durch den Besitz des Quelltextes und der Möglichkeit die eigenen Server zu beobachten, kann damit deutlich effektiver und systematischer getestet werden. Der Fuzzer ist durch die Instrumentierung zur Compile-Zeit des Codes in der Lage, Feedback aus dem Verhalten des Programms zu verarbeiten und mit KI-Techniken mehr Eingaben vorherzusagen, was letztlich zu einer höheren Testabdeckung führt. Ein weiterer Vorteil: Der Feedback-Mechanismus gibt während des Testdurchlaufs automatisch die Richtung vor. Menschliches Eingreifen – ein Feintuning der Testgrammatik – ist damit kaum noch erforderlich.

Im Vergleich zu den klassischen Code-Analyseverfahren können mit automatisierten Software-Security-Tests Sicherheitslücken effektiver identifiziert und früher behoben werden. Gleichzeitig sinkt der manuelle Aufwand für alle an der Entwicklung beteiligten Teams. Das Verfahren ist dabei in den DevSecOps-Prozess integrierbar, was die Software-Entwicklung insgesamt beschleunigt. Das Vorbild sind dabei US-amerikanische Tech-Riesen wie Google und Microsoft. Bei den großen Technologieführern haben sich diese Verfahren bereits erfolgreich in der Praxis bewährt, weshalb immer mehr europäische Unternehmen diese Verfahren übernehmen. Ganz unabhängig davon, wird Fuzz Testing allgemein in immer mehr regulatorische Richtlinien erwähnt, wie beispielsweise bei der ISO 21434 für Cyber Security in Automotive. Es ist deshalb davon auszugehen, dass auch mittelständische Unternehmen bei der Entwicklung ihrer Software vermehrt auf Fuzz Testing setzen werden.

Sergej Dechand, Gründer und Geschäftsführer, Code Intelligence