SAST Statische Anwendungssicherheitstests SAST), bei denen die Engine eine KI ist, die den Code analysiert, anstatt ihn mit Mustern abzugleichen.
Diese Kategorie existiert, weil herkömmliche regelbasierte SAST zwar wertvoll sind, aber ihre Grenzen haben. Sie können ganze Klassen von Schwachstellen nicht aufdecken, darunter IDORs, fehlerhafte Zugriffskontrolle und Fehler in der Geschäftslogik, für die es keine syntaktische Signatur gibt, die eine Regel erkennen könnte. All dies sind Probleme, die eine Angreiferperspektive erfordern. Traditionell wird dies durch Code-Reviews abgedeckt, doch da LLMs die Menge des in die Produktion übernommenen Codes exponentiell erhöhen, lassen sich manuelle Reviews nur schwer skalieren.
Hier SAST AI SAST ins Spiel. AI SAST über SAST SAST , SAST es den Quellcode so analysiert, wie es ein erfahrener Entwickler bei einer Codeüberprüfung tun würde: Es verfolgt Verweise zwischen Dateien und vergleicht die beabsichtigte Funktion des Codes mit seiner tatsächlichen Ausführung. Außerdem deckt es einige der Schwachstellen auf, die bisher durch Penetrationstests entdeckt wurden – allerdings wesentlich schneller und kostengünstiger.
Was bedeutet AI SAST ?
Kurz gesagt SAST AI SAST statische Codeanalyse eine KI den Code liest und auswertet, um Sicherheitslücken aufzudecken. Obwohl der Begriff in der Branche umstritten ist, bleibt oft unklar, was SAST einzelnen SAST leisten. Im Allgemeinen SAST AI SAST auf einen von zwei Ansätzen:
KI-gestützte SAST
Auch als „reasoning-based AI SAST bezeichnet, handelt es sich hierbei um SAST KI-basiertes Schlussfolgern als Erkennungsmechanismus nutzt und nicht nur als Hilfsmittel. Diese Definition wird im Folgenden im Mittelpunkt stehen. Das Modell liest den Quellcode und führt direkt Schlussfolgerungen darüber an. Musterabgleich kann zwar weiterhin als unterstützende Infrastruktur zum Einsatz kommen, ist jedoch nicht der primäre Treiber. AI-native SAST Schwachstellen, die traditionell durch Penetrationstests aufgedeckt wurden, weshalb AI-native SAST häufiger mit Penetrationstests als mit SAST verglichen SAST . Die besten AI-native SAST bieten Schlussfolgerungen auf Penetrationstest-Niveau für den Quellcode.
KI-gestützte SAST
Hierbei handelt es sich um SAST auf Mustererkennung basierende SAST, auch als KI-gestützte SAST bezeichnet. Nach dieser Definition SAST auf einen herkömmlichen, regelbasierten SAST , der um KI-Funktionen erweitert wurde. Die Erkennungs-Engine bleibt regelbasiert und deterministisch, während die KI triage, Priorisierung, Filterung von Fehlalarmen, Vorschläge zur automatischen Behebung sowie das Verfassen von Regeln in natürlicher Sprache übernimmt. Die KI liest nicht den Code, um Schwachstellen zu finden (wir werden später darauf eingehen, wie SAST ). Das ist zwar notwendig, aber der zugrunde liegende Scanner ist derselbe, der schon seit Jahren im Einsatz ist, sodass es sich hier um eine Verbesserung der bestehenden Technologie handelt. Mittlerweile SAST alle Anbieter, die deterministische SAST verkaufen, die KI-Erweiterung als Voraussetzung und nicht als nettes Extra betrachten.
In diesem Beitrag verwenden wir SAST für die KI-native SAST, bei der die Analyse durch die KI erfolgt, da SAST KI-gestützte SAST dieselbe Funktion SAST wie SAST. SAST KI-native SAST eine völlig neue Kategorie, die dabei hilft, Schwachstellen aufzudecken.
Woran erkennt man, welche Art von KI-basierter SAST Anbieter verkauft?
Die wichtigste Frage, die man einem Anbieter stellen sollte, der SAST anbietet, SAST , welche Variante er damit meint, da die beiden Produkte unterschiedliche Probleme lösen. Man kann AI-native SAST jedoch auch von AI-ergänzter SAST SAST , SAST man darauf achtet, was die KI des Anbieters laut eigenen Angaben leisten soll.
Wenn es darum geht, Fehlalarme zu reduzieren, Befunde zu priorisieren, Ergebnisse zu erläutern oder Korrekturen vorzuschlagen, erfolgt die zugrunde liegende Erkennung weiterhin regelbasiert, und die KI fungiert als Assistent. Dies fällt in die Kategorie der traditionellen SAST. Wenn es darum geht, Schlussfolgerungen über die gesamte Codebasis hinweg zu ziehen, IDORs zu erkennen, Fehler in der Geschäftslogik aufzudecken oder den Datenfluss über verschiedene Dienste hinweg zu verfolgen, übernimmt die KI die Erkennung.
Da sie unterschiedliche Funktionen haben, ersetzen sie sich nicht gegenseitig; daher ist es wichtig zu verstehen, wofür man sich entscheidet. Aikido einer der wenigen Anbieter, die sowohl KI-native SAST KI-gestützte SAST anbieten.
Wie SAST KI-basierte SAST von herkömmlicher SAST unterscheidet
Herkömmliche SAST, einschließlich KI-gestützter SAST, basieren auf Musterabgleich. Ein Sicherheitsingenieur schreibt eine Regel, die in etwa lautet: „Wenn Benutzereingaben in diese Funktion gelangen, ohne zuvor durch einen Sanitizer geleitet worden zu sein, kennzeichne dies als SQL-Injection.“ Das Tool parst Ihren Code in einen abstrakten Syntaxbaum, verfolgt, wie sich Daten durch die Anwendung bewegen, und sucht dann nach Stellen, an denen die Regel ausgelöst wird. SAST deterministisch, sodass SAST für denselben Code jedes Mal die gleichen Ergebnisse SAST . Deshalb SAST schnell, kostengünstig und zuverlässig genug, um jeden Commit in CI/CD zu prüfen.
Die Kehrseite ist, dass das Musterabgleichen keine Vorstellung davon hat, was der Code eigentlich tun soll, sondern nur darauf achtet, was wörtlich darin steht. So SAST beispielsweise SAST Regel haben, die Folgendes abfängt: „Logischerweise sollte dieser Endpunkt vor einer Änderung prüfen, ob der Benutzer Eigentümer der Ressource ist, tut dies aber nicht.“ Das ist kein kodierbares Muster und erfordert, dass ein Mensch oder eine KI dies „durchdenkt“.
Aus diesem Grund SAST KI-basierte SAST komplexere Schwachstellen aufdecken. Sie verfolgt Verweise zwischen Dateien, verfolgt Anfragen durch Dienste, ermittelt, wer eine Funktion aufruft und welche Berechtigungen dafür erforderlich sind, und vergleicht die tatsächliche Funktionsweise des Codes mit der vorgesehenen. Selbst Schwachstellen, die allen Regeln zum Musterabgleich entgehen, werden erkannt, da das Modell die fehlende Überprüfung logisch ableiten kann und nicht nur nach einer nicht vorhandenen Abfrage sucht.
Ein weiterer Unterschied betrifft die Sprachunterstützung. Bei herkömmlichem SAST müssen für jede Sprache, die die Engine unterstützen soll, eigene Regeln geschrieben werden. Bei SAST beherrscht die KI alle Sprachen, in denen Ihre Codebasis geschrieben sein könnte, sodass sie Unternehmen mit Codebasen in vielen verschiedenen oder auch seltenen Sprachen unterstützen kann.
SAST zudem pro Scan teurer als SAST. Einen Scan, der eine halbe Stunde dauert und mehrere hundert Dollar kostet, führt man nicht bei jedem Pull-Request durch. Aus wirtschaftlichen Gründen wird SAST daher SAST manchen SAST einem anderen Rhythmus SAST als deterministisches SAST und eher für Änderungen mit hohem Risiko sowie für Release-Audits reserviert. Aufgrund dieser Vor- und Nachteile SAST eine Ergänzung zum AppSec und kein Ersatz dafür.
Was AI SAST
Die Schwachstellen, auf SAST ausgerichtet SAST , sind jene, die bei herkömmlichem SAST bislang dem Menschen überlassen SAST . Mehrstufige Exploit-Ketten werden sichtbar, weil das Modell scheinbar zusammenhangslose Befunde miteinander verknüpfen kann. Eine Informationspreisgabe mit geringem Schweregrad, ein Session-Token mit eingeschränktem Geltungsbereich und eine zu großzügige CORS-Richtlinie können sich zu einer vollständigen Kontoübernahme verketten. Dazu gehören:
- IDORs und fehlerhafte Zugriffskontrolle: Die KI kann eine Anfrage vom Routen-Handler bis zur Datenbankabfrage zurückverfolgen und stellt fest, dass dazwischen keine Eigentumsrechte durchgesetzt werden.
- Erweiterung von Berechtigungen über Dienstgrenzen hinweg:
- Umgehung von Geschäftslogik: Die KI kann die durch den Code erzwogenen Regeln analysieren und erkennen, wenn diese nicht vollständig durchgesetzt werden, beispielsweise wenn an einem Endpunkt die Überprüfung der Abonnementstufe fehlt
{{idors}}
Wie schneidet AI SAST zu KI-Penetrationstests SAST ?
Die Grenze zwischen KI-gestützten SAST KI-Penetrationstests ebenfalls verschwommen sein, was zum Teil daran liegt, dass beide Tools behaupten können, dieselben Schwachstellen zu finden, und dass sie oft ähnliche architektonische Strukturen aufweisen.
SAST benötigt SAST den Quellcode. Eine bereits bereitgestellte Anwendung wird weder benötigt noch verwendet. Dadurch eignet es sich für Code, der noch nicht ausgeführt wird, sowie für Codepfade, die bei einem Live-Test nicht sicher durchlaufen werden könnten. Da es jedoch nicht überprüfen kann, ob jeder Pfad tatsächlich ausnutzbar ist, erzeugt es mehr Fehlalarme als ein Live-Pentest. AI SAST den Code, ohne ihn auszuführen, und kann daher etwas markieren, das wie eine Schwachstelle aussieht, aber zur Laufzeit nicht ausgelöst wird. Mit einem breiteren Netz fängt es Dinge auf, die ein Pentest nicht erreichen kann, aber die Ergebnisse lassen sich nicht testen.
KI-Penetrationstests eine laufende Anwendung. Die Engine testet die Anwendung so, wie es ein Angreifer tun würde, indem sie echte Exploits ausführt. Die Ergebnisse werden mit Nachweisen geliefert, beispielsweise durch die Bestätigung, dass die HTTP-Anfrage tatsächlich funktioniert hat. Einige KI-Pentest-Tools akzeptieren auch Quellcode als zusätzlichen Kontext (sogenanntes Whitebox-Pentesting), wodurch die KI den Code lesen und neben der Live-Ausnutzung auch Rückschlüsse auf die Anwendungslogik ziehen kann. In dieser Hinsicht KI-Penetrationstests dem SAST, da beide den Quellcode lesen, um Schwachstellen zu finden. Deshalb können beide komplexe Schwachstellen wie IDORs und Fehler in der Geschäftslogik aufdecken. Der Unterschied besteht darin, dass ein Penetrationstest die Schwachstelle ausnutzt, sodass das Ergebnis mit einem Nachweis einhergeht.
Diese Tools ersetzen sich nicht gegenseitig. SAST vor der Veröffentlichung auf Änderungen SAST und auf Codepfade, die zur Laufzeit nicht sicher getestet werden können. KI-Penetrationstests in bereits bereitgestellten Umgebungen KI-Penetrationstests , um zu überprüfen, welche Schwachstellen in der Produktion tatsächlich ausgenutzt werden können.
Benötigen Sie SAST, AI SAST und KI-Penetrationstests?
Sie können von allen drei Methoden profitieren, allerdings in unterschiedlichem Umfang. Kleinere Teams entscheiden sich möglicherweise dafür, nur SAST KI-Penetrationstests durchzuführen, während größere Unternehmen einen sehr gründlichen Ansatz verfolgen und alle drei Methoden einsetzen. Jede Ebene beantwortet eine andere Frage und deckt eine Klasse von Fehlern auf, die den anderen entgeht.
- Bei jedem Commit SAST deterministische SAST . Sie erkennt schnell und kostengünstig die gängigen OWASP-Risiken, die bekannten Mustern entsprechen. Dies gehört zum Stack jedes Unternehmens. Unabhängig davon, wie der Anbieter es nennt: Die besten SAST verfügen über KI-gestützte Triage und automatische Fehlerbehebung.
- SAST an den Stellen SAST , an denen die Logik am wichtigsten ist – also dort, wo SAST nicht hinkommt. Es ist teurer als regelbasiertes SAST kostengünstiger als KI-Penetrationstests.
- KI-Penetrationstests an der bereitgestellten Anwendung KI-Penetrationstests , um zu überprüfen, welche Schwachstellen zur Laufzeit tatsächlich ausgenutzt werden können. Das Verfahren ist gründlich, aber auch kostspieliger.
Als Faustregel gilt: SAST , AI SAST , AI-Penetrationstests hier und da.
Was AI SAST für AppSec SAST
KI-basierte SAST die Lücke zwischen regelbasierter SAST komplexen Penetrationstests. Musterabgleiche haben logische Fehler bislang stets übersehen, weshalb AppSec dies durch Code-Reviews, Penetrationstests und Bug-Bounty-Programme ausgeglichen haben. KI-basierte SAST einen Teil der Aufgaben dieser Programme – und das zu Kosten, die besser skalierbar sind als bei menschlicher Arbeit, bei einer Abdeckung, die sich mit der Verbesserung der Modelle ebenfalls verbessert.
Aikido AI SAST AI Code AuditAikido , einer agentenbasierten Engine, die die gesamte Codebasis durchforstet, um Fälle zu erkennen, die SAST nicht erfassen kann. Es läuft parallel zu Aikido SAST, nicht an dessen Stelle, das von Anfang an mit triage KI-Autofix KI-gestützt war. Aikido eine der wenigen Plattformen, die sowohl KI-native SAST KI-gestützte SAST anbieten, sodass Sie die richtige Sicherheitsabdeckung für Ihr Unternehmen konfigurieren können.
