-
SAST
¶ - Static Application Security Testing — Analyse von Quellcode (oder kompiliertem Bytecode) ohne Ausführung, um Sicherheitslücken zu finden. Gegenteil von DAST. StaticCodeAudit ist ein SAST-Tool.
-
DAST
¶ - Dynamic Application Security Testing — Analyse einer laufenden Anwendung von außen (HTTP-Requests, Login-Flows). Komplementär zu SAST. Findet keine Issues in nicht erreichbaren Code-Pfaden.
-
IAST
¶ - Interactive Application Security Testing — kombiniert SAST und DAST durch Instrumentierung der Anwendung zur Laufzeit. Benötigt einen Agent im App-Prozess, was Offline-Nutzung einschränkt.
-
CWE
¶ - Common Weakness Enumeration — von der Community gepflegte Liste von Softwarefehlern (z.B. CWE-89 « SQL Injection »), gewartet von MITRE. Jede StaticCodeAudit-Regel ist mit mindestens einem CWE-Identifier markiert.
-
CVE
¶ - Common Vulnerabilities and Exposures — eindeutige Kennung einer öffentlich offenbarten Schwachstelle (z.B. CVE-2021-44228 = log4shell). Wird zur Verfolgung verwendet, welche Bibliotheksversion betroffen ist.
-
OWASP Top 10
¶ - Regelmäßig aktualisierte OWASP-Liste der 10 kritischsten Web-Anwendungs-Sicherheitsrisiken (letzte Aktualisierung: 2021). Enthält A01 Broken Access Control, A03 Injection, A07 Identification & Authentication Failures, etc.
-
OWASP ASVS
¶ - Application Security Verification Standard — OWASP-Checkliste mit 280+ Verifikationsanforderungen, gruppiert in 14 Kapiteln. Levels 1 (Basis) / 2 (Standard) / 3 (Erweitert). Aktuelle Version: 5.0.0.
-
ISO/IEC 27001
¶ - Internationaler Standard für Informationssicherheits-Managementsysteme. Anhang A listet 93 Kontrollen (Revision 2022). Die Zertifizierung beweist, dass eine Organisation ein ISMS implementiert und betreibt.
-
NIST CSF 2.0
¶ - NIST Cybersecurity Framework, Version 2.0 (2024). Fünf Funktionen: Identify, Protect, Detect, Respond, Recover. Breit angenommen von US-Bundesbehörden und Betreibern kritischer Infrastruktur.
-
SARIF
¶ - Static Analysis Results Interchange Format — OASIS-Standard-JSON-Format (v2.1.0) für tool-agnostische SAST-Ausgaben. Verarbeitet von GitHub Code Scanning, GitLab Security Dashboard, ServiceNow, RSA Archer, etc.
-
SBOM
¶ - Software Bill of Materials — maschinenlesbares Inventar jeder Komponente (Bibliothek, Version, Lizenz) in einer Software. Erforderlich durch US Executive Order 14028 und EU-NIS2-Richtlinie für Software-Lieferketten-Attestierungen. Übliche Formate: CycloneDX, SPDX.
-
Taint analysis
¶ - Verfolgung, wie nicht vertrauenswürdige Nutzereingaben (« Source ») durch den Code fließen, bis sie eine gefährliche Funktion (« Sink ») erreichen, ohne durch einen Sanitizer zu gehen. Die Technik hinter der Erkennung von SQL-Injection, XSS, SSRF, Command Injection.
-
CSP
¶ - Content Security Policy — HTTP-Response-Header, der dem Browser mitteilt, welche Skript-, Style-, Bildquellen etc. erlaubt sind. Mildert XSS, indem Inline-Skripte und nicht autorisierte CDNs blockiert werden.
-
XSS
¶ - Cross-Site Scripting — Schwachstelle, bei der angreifer-kontrollierte Eingaben ohne Escaping in HTML reflektiert werden und der Angreifer JavaScript im Browser des Opfers ausführen kann. Varianten: Stored, Reflected, DOM-basiert.
-
SQL Injection
¶ - Schwachstelle, bei der Benutzereingaben ohne Bind-Parameter in eine SQL-Query konkateniert werden, sodass ein Angreifer die Query-Logik ändern kann (andere Zeilen lesen, Tabellen löschen, Daten exfiltrieren). CWE-89.
-
SSRF
¶ - Server-Side Request Forgery — Schwachstelle, bei der ein Angreifer einen Server dazu bringt, HTTP-Requests an interne Dienste (Cloud-Metadaten-Endpoints, RDS, interne Microservices) zu senden, die der Angreifer nicht direkt erreichen kann. CWE-918.
-
XXE
¶ - XML External Entity — Schwachstelle in XML-Parsern, die externe Entitäten (DTD-Referenzen) auflösen. Lässt Angreifer lokale Dateien lesen, SSRF durchführen oder Denial of Service auslösen (Billion Laughs). CWE-611.
-
CSRF
¶ - Cross-Site Request Forgery — Angriff, bei dem ein authentifiziertes Opfer dazu gebracht wird, einen vom Angreifer gewählten Request abzusenden, unter Missbrauch des Session-Cookies des Opfers. Mildert durch Anti-CSRF-Tokens oder SameSite-Cookies. CWE-352.
-
Prototype Pollution
¶ - JavaScript-spezifische Schwachstelle, bei der ein Angreifer
Object.prototypeüber gefälschte Keys (__proto__,constructor) verschmutzen kann. Betrifft alle nachgelagerten Objekte. CWE-1321. -
Insecure Deserialization
¶ - Deserialisierung angreifer-kontrollierter Bytes (Pickle, Java ObjectInputStream, PHP unserialize, .NET BinaryFormatter) führt zu beliebiger Code-Ausführung via Gadget-Chains. CWE-502.
-
Air-gapped
¶ - Eine Computing-Umgebung, die physisch und logisch von externen Netzwerken isoliert ist (kein Internet, kein DNS, keine Wechselmedien). Erforderlich für klassifizierte Datenumgebungen (SCIF, sicherer Bereich) und viele Verteidigungs- / Kritische-Infrastruktur-Deployments.
-
NIS2
¶ - EU-Richtlinie 2022/2555 zur Cybersicherheit für « wesentliche » und « wichtige » Einrichtungen (Energie, Banken, Gesundheit, digitale Infrastruktur usw.). Artikel 21 schreibt Risikomanagement-Maßnahmen vor, einschließlich Lieferkettensicherheit und SBOM-Nachweise.
-
SOC 2
¶ - Service Organisation Control 2 — AICPA-Audit-Framework für Dienstleister, abdeckend 5 « Trust Service Criteria » (Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz). Type-II-Audits decken einen Zeitraum ab (typisch 6-12 Monate).
-
HIPAA
¶ - US Health Insurance Portability and Accountability Act. Die Security Rule (45 CFR §164.302–318) verlangt technische Schutzmaßnahmen für elektronisch geschützte Gesundheitsinformationen (ePHI), einschließlich Zugriffskontrollen, Audit-Logs und Integritätsprüfung.
-
PCI-DSS
¶ - Payment Card Industry Data Security Standard. Erforderlich von Visa/MC/Amex für jeden Händler oder Prozessor, der Zahlungskartendaten verarbeitet. Version 4.0 (2024) §6.2 fordert sichere Entwicklungspraktiken einschließlich Code-Review.
Authoritative sources
Every definition in this glossary is derived from a publicly maintained specification. Verify directly:
- • CWE — cwe.mitre.org (MITRE, maintained list)
- • CVE — cve.org (MITRE / CVE Program)
- • OWASP Top 10 (2021) — owasp.org/Top10
- • OWASP ASVS v5 — owasp.org/ASVS
- • ISO/IEC 27001:2022 — iso.org/standard/27001
- • NIST CSF 2.0 — nist.gov/cyberframework
- • SARIF v2.1.0 — OASIS specification
- • SBOM (CycloneDX) — cyclonedx.org (OWASP project)
- • SBOM (SPDX) — spdx.dev (Linux Foundation)
- • WCAG 2.1 — w3.org/TR/WCAG21
- • NIS2 (EU 2022/2555) — EUR-Lex full text
- • SOC 2 (AICPA) — aicpa-cima.com
- • HIPAA Security Rule — hhs.gov/hipaa
- • PCI-DSS v4.0 — pcisecuritystandards.org