Der DevSecOps-Software-Bereich entwickelt sich weiter, da Produktentwicklungsteams daran arbeiten, „sichere Standard“-Lieferstrategien zu übernehmen. Im Februar 2022 startete G2 seine Interactive Application Security Testing (IAST) Software-Kategorie, um einen wichtigen Testansatz zu repräsentieren.

IAST: SAST und DASTs jüngstes Geschwister

IAST-Software gibt es seit etwa vier Jahren, aber sie hat noch viel Raum, um auf dem Markt zu wachsen. Sie gesellt sich zu Static Application Security Testing (SAST) und Dynamic Application Security Testing (DAST), um ein Repertoire zu bilden, aus dem Entwicklungsteams den Ansatz maßschneidern können, der am besten für sie funktioniert. Während SAST Sicherheitstests durchführt, ohne den Code einer Anwendung tatsächlich auszuführen (daher „statisch“), und DAST eine Black-Box-Testmethode verwendet, um Tests von außerhalb der Anwendung durchzuführen, ermöglicht IAST-Software den Benutzern, automatisierte Sicherheitsanalysen einzurichten, die innerhalb der Anwendung stattfinden, während sie läuft.

IAST-Software ist kein Allheilmittel, das SAST und DAST verdrängt. Stattdessen sollte sie als Ergänzung zu einer oder beiden dieser Lösungen betrachtet werden. DevSecOps, die Software-Lieferstrategie, die darauf abzielt, Arbeitsabläufe durch kontinuierliche Entwicklung, Integration, Sicherheit und Lieferung zu optimieren, erfordert Automatisierung, um erfolgreich zu sein.

IAST, SAST und DAST automatisieren alle Aspekte des Software-Sicherheitstestprozesses, um Teams zu helfen, Sicherheit als Standard zu erreichen, aber die Ansätze, die sie ermöglichen, unterscheiden sich. Eine erfolgreiche DevSecOps-Strategie erfordert eine Kombination von Sicherheitsmaßnahmen, die umfassend und gründlich sind, während sie gleichzeitig Zeit sparen, indem sie Sicherheit zu einem natürlichen Teil des Entwicklungsprozesses machen.

Wie hilft IAST?

Wie SAST wird IAST typischerweise in den früheren Phasen des Softwareentwicklungszyklus eingesetzt. Das bedeutet, dass Sicherheitsprobleme eher früher als später erkannt werden, was den Teams viel Zeit und Kopfschmerzen erspart.

Einer der Vorteile eines DevSecOps-Ansatzes ist, dass je mehr Teams Sicherheitslücken schließen können, während sie voranschreiten, desto weniger müssen sie zurückgehen und nacharbeiten. Da es Anwendungen in Echtzeit von innen überwacht, hat IAST-Software auch das Potenzial, viel effizienter zu sein als SAST und DAST. Wenn IAST Schwachstellen basierend auf entweder bekannten Compliance-Anforderungen oder benutzerdefinierten Parametern erkennt, benachrichtigt es automatisch die Softwaretester. Über die Benachrichtigung hinaus bietet IAST-Software Vorschläge zur Behebung, um Entwicklern einen Ausgangspunkt zu geben, während sie daran arbeiten, Probleme zu lösen.

Es ist jedoch erwähnenswert, dass IAST-Software nur an vordefinierten Punkten ausgeführt wird. Das bedeutet, dass IAST-Softwarebenutzer gründlich sein müssen, wenn sie bestimmen, welche Tests durchgeführt werden sollen und wann. Die Integration von IAST mit anderen Testautomatisierung-Tools kann diese Praxis ergänzen, da Benutzer ihre etablierten Testparameter wiederverwenden können. Im Gegensatz zu den benutzerdefinierten Testpunkten von IAST analysiert SAST den gesamten Code der Anwendung. In Anbetracht dessen hat SAST eine höhere Abdeckung als IAST, kann jedoch auch mehr Fehlalarme bei der Erkennung von Schwachstellen erzeugen.

Ausblick

Bei G2 werden wir unsere Taxonomie weiterhin aktualisieren, um aufstrebende Softwaremärkte zu repräsentieren. Während der IAST-Bereich nicht so robust ist wie die SAST- und DAST-Bereiche, ist er ein wichtiges Stück des Application Security (AppSec) Testpuzzles. Wir erwarten, dass mehr Produkte in die Kategorie aufgenommen werden, da sich der DevSecOps-Bereich weiterhin schnell entwickelt.