Für Industrie-Applikationen
Sicherheit mit OWASP
Fortsetzung des Artikels von Teil 2
Der Nutzen von Checkern
Möchte man seine Applikation wirklich abhärten, kommt hier ein wichtiger Hinweis: Auf Sicherheit zu testen ist wesentlich einfacher als Sicherheit mit einzubauen. Zum Glück werden Statische-Analyse-Checker in den verschiedensten Varianten angeboten. Einige halten Ausschau nach typischen Problemen wie etwa „Tainted Data“ und versuchen herauszufinden, ob die Applikation einen Ablauf enthält, bei dem dieses Problem vorkommen kann.
Der größere Nutzen von statischen Codeanalysen liegt jedoch in Checkern, die zwei ganz besondere Dinge durchsetzen:
- Ein Muster, mit dem es in der Vergangenheit wiederholt Probleme gab. Dies mag zwar nicht so interessant aussehen wie ein bestimmter, zu einem Exploit hinführender Stack-Trace. Aber es kann wesentlich gründlicher sein, einfach alles zu reparieren, das schwächer ist, als es sein sollte, anstatt sich bei der Reparatur auf solche Probleme zu beschränken, für die es einen erwiesenen Angriffsvektor gibt.
- Anforderungen bestimmter Kodierungsweisen, um eine einwandfreie Funktion zu gewährleisten. Automobil- und Luftfahrt-Normen wie MISRA oder JSF bedienen sich dieser Technik, um die funktionale Sicherheit zu gewährleisten. Die gleiche Technik, nicht nur schlechten Code zu melden, sondern guten Code zu verlangen, ist beim Erstellen sichererer Applikationen hilfreich.
Ironischerweise wird diese Vorgehensweise seit Jahrzehnten in sicherheitskritischen Branchen für Hard- und Software angewandt. Dennoch denkt man im Fall der Cyber-Security, dass sich eine Applikation durch Testen sicher machen lässt und man sich nicht auf das Erstellen von sicherem Code konzentrieren muss. Für den größtmöglichen Nutzen sollte man sämtliche Fähigkeiten der proaktiven statischen Analyse und der Früherkennungs-Checker einsetzen.
Wenn man sich niemals gezielt mit dem Thema Security auseinandergesetzt hat, wird die Umsetzung der OWASP Top 10 nicht einfach sein, aber möglich ist sie. DAST ist eine einfache Möglichkeit, mit den Top 10 anzufangen, und SAST hilft anschließend bei der zeitlichen Vorverlegung der Security-Tests. Richtig implementiert, kann SAST sogar Probleme vermeiden und nicht nur detektieren.
Es ist also sinnvoll, nach Tools Ausschau zu halten, die den Standard mit Detektierung und präventiven Checkern vollständig abdecken.
Es lohnt sich, die richtige Nutzung der OWASP-Risikobewertung zu lernen, denn sie liefert wertvolle Hilfestellung bei der Priorisierung der Ergebnisse und um sicherzustellen, dass die Tools diese Risikoinformationen zusammen mit den Resultaten ausgeben. Dies hilft, um sich auf das Wesentliche zu konzentrieren, und ist entscheidend für eine erfolgreiche OWASP-Implementierung. Mit diesen Tipps gerüstet, sollte man in der Lage sein, sofort mit der Beseitigung der verbreitetsten und gefährlichsten Sicherheitsrisiken für Web-/Industrial-Applikationen zu beginnen.
Jobangebote+ passend zum Thema
- Sicherheit mit OWASP
- Dependency Check
- Der Nutzen von Checkern
Lesen Sie mehr zum Thema
