Security Scanning
Systematisches Auffinden von Schwachstellen in Code, Abhängigkeiten und Laufzeitumgebungen mittels automatisierter und manueller Prüfungen.
Klassifikation
- KomplexitätMittel
- AuswirkungTechnisch
- EntscheidungstypArchitektur
- OrganisationsreifeFortgeschritten
Technischer Kontext
Prinzipien & Ziele
Use Cases & Szenarien
Kompromisse
- Übermäßiges Vertrauen in Tools ohne menschliche Validierung.
- Unbehandelte Findings führen zu falscher Sicherheitswahrnehmung.
- Fehlende Integration erzeugt verstreute Ergebnisse und Duplicate Work.
- Shift-Left: Scans im Pull-Request-Workflow ausführen.
- Triage-Prozess zur Reduktion von False Positives etablieren.
- Ergebnisse in zentrale Dashboards und Ticket-Systeme integrieren.
I/O & Ressourcen
- Quellcode oder Artefakte (Binaries, Container-Images)
- Zugriffsrechte auf Test- oder Staging-Umgebungen
- Dependency-Listen und Build-Manifeste
- Priorisierte Schwachstellenliste mit CVSS/Schweregrad
- Reports, Tickets und Audit-Nachweise
- Suggested-Fixes und Remediation-Guides
Beschreibung
Security Scanning ist ein systematischer Ansatz zur automatisierten und manuellen Prüfung von Software und Infrastruktur auf Schwachstellen. Es kombiniert statische, dynamische und Abhängigkeits-Analysen, um Risiken frühzeitig zu erkennen. Es wird in CI/CD-Pipelines und im Betrieb eingesetzt, um Regressionen zu vermeiden und Compliance-Anforderungen zu erfüllen.
✔Vorteile
- Frühe Identifikation von Schwachstellen reduziert Exploit-Risiko.
- Automatisierte Scans skalieren mit CI/CD und minimieren manuellen Aufwand.
- Unterstützt Compliance und Nachweisführung gegenüber Audits.
✖Limitationen
- Automatisierte Tools liefern False Positives und erfordern Review.
- Nicht alle Angriffsvektoren lassen sich automatisiert abdecken.
- Performance- und Zeitkosten bei umfangreichen DAST-Suiten.
Trade-offs
Metriken
- Zeit bis Entdeckung (Time to Detect)
Durchschnittliche Zeit zwischen Einführung einer Schwachstelle und ihrem Auffinden.
- Finde-Rate / Scan-Coverage
Anteil der Codebasis oder Artefakte, die durch Scans abgedeckt werden.
- False-Positive-Rate
Anteil der gemeldeten Findings, die sich als nicht verwertbar herausstellen.
Beispiele & Implementierungen
SAST-Integration mit SonarQube
Einsatz von SonarQube zur statischen Analyse im Pull-Request-Workflow.
DAST mit OWASP ZAP gegen Staging
Automatisierte dynamische Scans von Staging-Umgebungen mit ZAP im CI.
Dependency-Scanning via Dependabot
Automatische Pull-Requests für veraltete oder unsichere Bibliotheken.
Implementierungsschritte
Analyse vorhandener Risiken und Auswahl geeigneter Scan-Typen (SAST/DAST/SCA).
Integration ausgewählter Tools in CI/CD mit definierter Policy und Break-Conditions.
Einrichtung von Reporting, Ticket-Erstellung und SLA für Remediation.
Kontinuierliche Überwachung, Tuning der Signaturen und Review-Prozesse.
⚠️ Technische Schulden & Engpässe
Tech Debt
- Veraltete Scan-Regeln und Signaturen müssen regelmäßig aktualisiert werden.
- Inhomogene Toollandschaft ohne zentrales Management erzeugt Overhead.
- Keine automatisierte Remediation-Pipeline für gängige Findings.
Bekannte Engpässe
Beispiele für Missbrauch
- Verzicht auf Review: Teams vertrauen ausschließlich auf Tool-Ausgabe.
- Scans nur in Produktion, wodurch frühzeitige Erkennung entfällt.
- Keine Priorisierung: alle Findings werden gleich behandelt.
Typische Fallen
- Hohe False-Positive-Quote ohne klaren Triage-Prozess.
- Fehlende Authentifizierung für DAST führt zu unvollständigen Ergebnissen.
- Überlastung der CI mit langen Scans ohne Zeitlimits.
Erforderliche Fähigkeiten
Drivers (Architectural Drivers)
Constraints
- • Netzwerkzugriff auf Staging/Prod erforderlich für DAST
- • Lizenz- und Datenschutzanforderungen bei Drittanbieter-Scans
- • Ressourcenlimits in Pipelines begrenzen parallele Scans