Security by design

Die 13 besten Tools für Anwendungssicherheit

17.12.2018
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Diese Tools helfen Entwicklungsabteilungen in Unternehmen, Sicherheitslücken in Ihren Anwendungen zu entdecken und zu schließen.

Der 2018 Data Breach Investigations Report (PDF) des US-Telekommunikationsanbieters Verizon besagt, die häufigste Angriffsmethode hinter Datenlecks seien Hacks über Web-Anwendungen. Daher wird es für Unternehmen wichtiger, ihre Anwendungen zu testen und abzusichern. Wir stellen einige der beliebtesten, aktuell verfügbaren Tools für Anwendungssicherheit vor und beschreiben, in welchen Szenarien sie am effektivsten sind.

Die häufigste Angriffsmethode hinter Datenlecks sind Hacks über Web-Anwendungen. Daher wird es für Unternehmen immer wichtiger, ihre Anwendungen zu testen und abzusichern.
Die häufigste Angriffsmethode hinter Datenlecks sind Hacks über Web-Anwendungen. Daher wird es für Unternehmen immer wichtiger, ihre Anwendungen zu testen und abzusichern.
Foto: whiteMocca - shutterstock.com

Die Informationen der Liste stammen aus verschiedenen Quellen, darunter:

Es sind sowohl kostenlose als auch kommerzielle Produkte enthalten. Die Hersteller der kommerziellen Tools nennen sehr selten Listenpreise. Die Werkzeuge sind oft in Verbindung mit anderen Tools des Anbieters erhältlich mit Mengen- oder Laufzeit-Rabatten bezüglich der Lizenzkosten. Einige der kostenfreien Tools werden auch als bezahlte Varianten angeboten, die mehr Funktionalität bieten.

Die 13 besten Tools für Anwendungssicherheit

In alphabetischer Reihenfolge:

Arxan Application Protection

Das lässt sich für Runtime Applications Self Protection (RASP) verwenden. Diese Art Software agiert, während eine Anwendung oder Laufzeitumgebung ausgeführt wird. Sie gewährt Einblicke in die Vorgänge innerhalb der App und kann so ihr Verhalten und den Kontext auf verdächtige Aktivitäten hin analysieren. Arxan Application Protection soll gegen Reverse Engineering sowie Code-Manipulation schützen und vor allem im Bereich mobiler Apps nützlich sein.

  • Zielgruppe: Erfahrene Entwickler

  • Fokus: RASP

  • Auslieferung: Mac, Windows, Android, iOS, Linux

  • Preis: Hersteller kontaktieren

Black Duck von Synopsys

Black Duck automatisiert Open-Source-Sicherheit und die Einhaltung von Lizenzen während der Anwendungsentwicklung. Mit dem Tool lässt sich das gesamte Portfolio an Open-Source-Anwendungen, überwachen, absichern und verwalten. Synopsys hat zudem noch weitere Anbieter für Anwendungssicherheit aufgekauft, darunter Coverity und Codenomicon.

Leader im Gartner Magic Quadrant

  • Zielgruppe: Open-Source-Entwickler

  • Fokus: Testing von Open-Source-Anwendungen

  • Auslieferung: SaaS

  • Preis: Live Demo, Hersteller kontaktieren

Burp Suite von PortSwigger

Burp Suite ist eine der bekannteren Tool-Suiten für Penetrationstests. Sie wurde in den letzten Jahren großflächig erweitert und verbessert. Alle enthaltenen Werkzeuge teilen sich ein gemeinsames Framework, um HTTP-Nachrichten, Persistenz, Authentifizierung, Proxies, Logging sowie Alarme darzustellen und zu verwalten. Die kostenpflichtigen Versionen beinhalten zusätzliche automatisierte und händische Test-Tools. Sie lassen sich mit verschiedenen anderen Frameworks wie beispielsweise Jenkins und mit einer gut dokumentierten REST-Programmierschnittstelle integrieren.

ITCS Rang 7

  • Zielgruppe: Erfahrene Entwickler

  • Fokus: Penetrationstests und Schwachstellen-Scan von Web-Anwendungen

  • Auslieferung: Mac, Windows, Linux, JAR

  • Preis: Kostenlos bis 4.000 US-Dollar/Jahr, 60-tägige kostenlose Probephase

CA/Veracode App Security Platform

Veracode bietet, in einer zentralen Plattform gehostet, zahlreiche Techniken für Sicherheitstests und Bedrohungsabwehr. Es wird verwendet, um sowohl während der Entwicklung als auch im produktiven Einsatz Schwachstellen zu finden und Risiken zu bewerten. Nutzer betonen häufig die einfache Bedienung des Tools, unabhängig von der Größe der getesteten Installationen.

ITCS Rang 1, Leader im Gartner Magic Quadrant

  • Zielgruppe: Entwickler

  • Fokus: Statisches und dynamisches Scannen von Code

  • Auslieferung: SaaS

  • Preis: Hersteller kontaktieren

Checkmarx

Checkmarx stellt eine Reihe von Tools zum Testen von Anwendungen bereit. Darunter fallen Werkzeuge zum statischen und dynamischen Scannen von Code und für die Analyse der Open-Source-Komponenten. Die Tools suchen die Anwendungen durchgehend nach Schwachstellen ab und unterstützen zahlreiche Programmiersprachen. Checkmarx akquirierte 2017 eine Traningsplattform und integrierte sie in seine Software, um deren Funktionen hinsichtlich Schulungen für sicheres Programmieren zu erweitern.

ITCS Rang 2, Leader im Gartner Magic Quadrant

  • Zielgruppe: Entwickler

  • Fokus: Statisches und dynamisches Scannen von Code, Training für sicheres Programmieren

  • Auslieferung: SaaS und On-premise

  • Preis: Hersteller kontaktieren, kostenlose Demo

Fortify von Micro Focus

Fortify kam durch die Fusion mit der Softwaresparte von HPE in das Portfolio von Micro Focus. Die integrierten Entwicklungs- und Testing-Tools sind als SaaS-, On-premise- und Mobile-Versionen verfügbar. Sie dienen zur kontinuierlichen Anwendungsüberwachung. Fortify kann zudem mit den Entwicklungsumgebungen Eclipse IDE und Visual Studio integriert werden.

ITCS Rang 3, Leader im Gartner Magic Quadrant

  • Zielgruppe: Entwickler

  • Fokus: Statisches und dynamisches Scannen von Code

  • Auslieferung: SaaS- und On-premise-Versionen

  • Preis: Hersteller kontaktieren, 15-tägige kostenlose Probephase

IBM Security AppScan

Security AppScan ist Teil des umfangreichen Portfolios für Anwendungssicherheit von IBM. Big Blue bietet es in drei verschiedenen Versionen an: Source, Standard und Enterprise. Source sucht Quellcode nach Schwachstellen ab. Standard bietet IT-Sicherheits-Teams, Auditoren und Penetrationstestern eine automatisierte Testumgebung für Anwendungssicherheit. Enterprise ist eine Client-Server-Version, mit der die Sicherheitstest skaliert werden können. Zudem gibt es mobile Varianten, um iOS- und Android-Anwendungen zu überprüfen. Die Software ist in der Lage, verschiedene Dateiformate aus manuellen Code-Reviews, Penetrationstests und sogar Schwachstellen-Scannern von Wettbewerbern zu importieren.

ITCS Rang 4, Leader im Gartner Magic Quadrant

  • Zielgruppe: Große Unternehmen

  • Fokus: Scannen von Anwendungscode inklusive mobiler, statischer und dynamischer Methoden

  • Auslieferung: SaaS und On-premise

  • Preis: Hersteller kontaktieren, 30-tägige kostenlose Probephase

Klocwork von Rogue Wave

Klocwork bietet unter anderem Features für statische Anwendungs-Scans, kontinuierliche Code-Integration und ein Tool zur Visualisierung der Code-Architektur. Es besitzt eingebaute Prüfwerkzeuge für verschiedene Sicherheitsstandards wie CERT, CWE und OWASP. Code-Injektionen, Cross-Site-Scripting (XSS), Memory-Leaks und andere schädliche Codierungs-Verfahren werden von ihm aufgespürt.

ITCS Rang 9

  • Zielgruppe: Entwickler

  • Fokus: Statische Code-Analyse

  • Auslieferung: SaaS

  • Preis: kostenlose Probephase

Qualys Web App Scanning

Qualys Web App Scanning findet und katalogisiert alle Web-Anwendungen im gesamten Unternehmen. Es führt dynamische Scans durch, alarmiert über Malware-Infektionen und schlägt Korrekturmaßnahmen für den Code vor. Das Produkt ist Teil des größeren Cloud-Apps-Portfolios, das neben Scans auch Security-Tools für Infrastrukturen und Endpunkte beinhaltet. Es gibt zudem einen großflächigen Support für andere Web-Application-Firewalls. Kostenlose, im Funktionsumfang reduzierte Versionen dieser Services sind erhältlich, ebenso zahlreiche Gratis-Tools, um SSL-Webseiten, Zertifikate und Browserkonfigurationen zu prüfen.

ITCS Rang 8

  • Zielgruppe: Web-Anwendungsentwickler

  • Fokus: Dynamisches Scannen von Anwendungen

  • Auslieferung: SaaS

  • Preis: Diverse Abonnements und Nutzungsgebühren-Modelle, 30-tägige kostenlose Probephase

Prevoty von Imperva

Prevoty ist ein weiteres Tool, das für RASP verwendet werden kann und vor allem bezüglich mobilen Anwendungen gegen Reverse Engineering und Code-Manipulation schützt.

  • Zielgruppe: Entwickler

  • Fokus: RASP

  • Auslieferung: SaaS

  • Preis: Hersteller kontaktieren

Selenium

Selenium verfügt über eine Tool-Suite, mit der sich Web-Anwendungen mit ihrer Funktionsweise in einer Vielzahl verschiedener Browser-Versionen automatisiert testen lassen. Sie laufen mit der eigenen integrierten Entwicklungsumgebung für Selenium-Skripte, die als Browser-Erweiterung implementiert wird. Die Suite erlaubt es, Tests aufzunehmen, zu bearbeiten und auf Fehler zu untersuchen sowie ihre Skripte aufzunehmen und wiederzugeben. Selenium bietet breiten Drittanbieter-Support für diverse Plug-ins, die Sicherheitsprobleme in mobilen und speziellen Web-Browsern erkennen.

  • Zielgruppe: Anwendungsentwickler

  • Fokus: Tests von Web-Anwendungen

  • Auslieferung: Benötigt einen eigenen Server und unterstützt zahlreiche Programmiersprachen, darunter C#, Ruby und Python

  • Preis: Kostenlos

WebGoat von OWASP

WebGoat ist eine bewusst unsichere Web-Anwendung. Sie wurde vom Open Web Applications Security Project (OWASP) entwickelt, das eine Liste der kritischsten Web-Schwachstellen vorhält. Die Anwendung ist als Lehrmaterial gedacht, um die Auswirkungen der gängigsten Exploits zu demonstrieren und aufzuzeigen, wie sie in den eigenen Anwendungen zu vermeiden sind. WebGoat bietet viele Programmierbeispiele und andere Tipps. Die Software existiert seit 15 Jahren und befindet sich momentan in der achten Version.

  • Zielgruppe: Entwickler

  • Fokus: Tests unter anderem für Code-Injection, XSS und unsichere Zugangsdaten

  • Auslieferung: JAR-Datei

  • Preis: Kostenlos

Zed Attack Proxy (ZAP) von OWASP

Zed Attack kommt ebenfalls vom OWASP. Aus der Zusammenarbeit mit einer großen Open-Source-Community entstanden, hilft das Tool dabei, Sicherheitsschwachstellen in Web-Anwendungen zu finden, während sie programmiert werden. Zed Attack schaltet sich zwischen die Anwendung und den Browser, fängt Web-Traffic auf und untersucht ihn auf Anfälligkeiten.

ITCS Rang 6

  • Zielgruppe: Entwickler, besonders Anfänger

  • Fokus: nur Web-Anwendungen

  • Auslieferung: Anwendungen verfügbar für Windows, Linux, Mac und Docker, benötigt Java 7+

  • Preis: Kostenlos