Mit Fuzzing effektiv und effizient sichern

Mit dem DevSecOps-Ansatz sind die IT-Security und das Software Testing ein integraler Bestandteil der Entwicklungsprozesse. Sicherheitslücken und Softwarefehler sollten jedoch bereits während der Entwicklung automatisiert entdeckt und geschlossen werden. Über die Mehrwerte des Fuzz Testing.

Über viele Jahre wurde in der Softwareentwicklung, um Entwicklungsprozesse effizienter zu gestalten, der sogenannte DevOps-Ansatz verfolgt. So konnten Entwicklungsverfahren beschleunigt und Betriebskosten reduziert werden. Sicherheitsaspekte wurden dabei jedoch oft separat gehandhabt. Die Software wurde erst ganz am Ende ihres Entwicklungszyklus in einem Pentest auf Sicherheit überprüft. Die Folge: zusätzliche Kosten. Denn je später eine Sicherheitslücke im Entwicklungsprozess bemerkt wird, desto teurer wird ihre Behebung. So entstand der DevSecOps-Ansatz. Von Beginn an wird die Software hier in jeder Phase ihrer Entwicklung auf Sicherheit überprüft, um diese mit einem geringeren Aufwand verbessern zu können. Verschiedene Verfahren und Tools unterschiedlicher Anbieter stehen für diese Aufgabe mittlerweile zur Verfügung.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

Statische und dynamische Code-Analyse

Die statische Code-Analyse ist unter Entwickler-Teams bereits weit verbreitet. Diese Schwachstellen-Scanner zeigen Unregelmäßigkeiten im Code auf. Dabei wird der gesamte Quellcode einer Software auf Muster geprüft – ähnlich zu einer Rechtschreibprüfung – nicht aber seine tatsächliche Ausführung getestet. Das Problem: Das Verfahren produziert in der Regel zu viele Falschmeldungen. Die Prüfung dieser Meldungen ist dabei sehr arbeitsaufwendig. Viel wichtiger ist jedoch der Aspekt, dass dieses Verfahren viele kritische Fehler übersieht, die erst in einem Pentest gefunden werden.

Ein anderer Ansatz wird bei einer dynamischen Code-Analyse verfolgt, wobei nicht der Quellcode geprüft, sondern dessen Ausführung in der Praxis getestet wird. Automatisiert werden hierzu bestimmte Eingaben getätigt, um zu ermitteln, wie sich die Software in der Praxis bewährt. Der Nachteil: Es gibt keine Garantie, dass alle möglichen Programmpfade durch den Test abgedeckt werden. Zwar können Angriffsmuster manuell nachgebessert werden, doch ist der Arbeitsaufwand hier, wie bei der anschließenden Identifizierung und Behebung der Fehler, vergleichsweise hoch.

1. Mit Fuzzing effektiv und effizient sichern
2. Automatisiertes Software Security Testing mit Fuzzing

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Privatsphäre? Fehlanzeige!

Gericht in NRW erlaubt versteckte Kamera in WG-Zimmer

Hybride Arbeitswelt

Meetingraum-Systeme as a Service

Digitale Souveränität in Europa

Der neue Wettlauf um Kontrolle, Kompetenz und Kooperation

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied