Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen

DevSecOps Tools Vergleich: SAST, DAST, SCA und Secrets Scanning

Ein strukturierter Vergleich der wichtigsten DevSecOps-Tools für Static Application Security Testing (SAST), Dynamic Application Security Testing (DAST), Software Composition Analysis (SCA) und Secrets Scanning. Der Artikel erklärt Einsatzzweck, Stärken und Grenzen von Semgrep, SonarQube, Snyk, OWASP ZAP, Nuclei, Trivy, Gitleaks und weiteren Tools sowie deren Integration in CI/CD-Pipelines (GitHub Actions, GitLab CI).

Inhaltsverzeichnis (7 Abschnitte)

DevSecOps integriert Sicherheitstools direkt in den Entwicklungsprozess - von der ersten Code-Zeile bis zum Production-Deployment. Dieser Artikel gibt einen strukturierten Überblick über die vier Hauptkategorien von DevSecOps-Tools, erklärt ihre jeweiligen Stärken und Grenzen, und zeigt wie sie in reale CI/CD-Pipelines integriert werden.

Die vier Säulen des DevSecOps-Toolings

Die Tooling-Kategorien sind an den Phasen des Entwicklungsprozesses ausgerichtet: IDE-Plugins und Pre-Commit-Hooks greifen in der Entwicklungs- und Commit-Phase ein. SAST, SCA und Secret Scanning laufen im Build. DAST und IAST kommen in der Testphase zum Einsatz. Container-Scanning und Cloud Security Posture Management (CSPM) ergänzen die Deploy-Phase.

Das Shift-Left-Prinzip begründet dieses Vorgehen wirtschaftlich: Je früher im Entwicklungsprozess ein Security-Bug gefunden wird, desto günstiger ist die Behebung - DEV: 1x, CI: 10x, QA: 100x, PROD: 1.000x.

SAST - Static Application Security Testing

SAST analysiert Code-Patterns ohne Ausführung, erkennt bekannte Schwachstellenklassen (CWE), führt Taint-Analysen durch (Input → Sink: SQL, HTML, Filesystem) und kann in CI/CD ohne laufende Applikation integriert werden. SAST kann keine Laufzeit-Fehler, Authentifizierungs-Bypass oder Context-abhängige Schwachstellen erkennen. Die False-Positive-Rate liegt ohne Tuning bei 30-60%.

Semgrep (OSS + Cloud): YAML-basierte Rules ermöglichen eigene Regeln ohne Compiler-Wissen. Das Community-Ruleset umfasst über 1000 vordefinierte Regeln für Python, Java, JavaScript/TypeScript, Go, Ruby, Rust und C. Semgrep ist sehr schnell (kein Build nötig). Die OSS-Version ist kostenlos. Schwäche: Oberflächliche Taint-Analyse im OSS-Modus ohne Cross-File-Analyse.

GitHub-Actions-Integration:

- uses: returntocorp/semgrep-action@v1
  with:
    config: "p/python p/javascript p/docker"

SonarQube / SonarCloud: Unterstützt über 30 Sprachen, bietet Quality Gates die PRs blockieren wenn das Security-Rating fällt, trackt technische Schulden und deckt OWASP Top 10 und CWE ab. SonarLint ermöglicht IDE-Integration. Schwächen: Ressourcenintensiv (selbst gehostet: 8 GB RAM Minimum), Community Edition kostenlos aber Enterprise kostspielig, hohe False-Positive-Rate ohne Tuning.

CodeQL (GitHub Advanced Security): Tiefe semantische Analyse mit Datenfluss-Verständnis, nativ in GitHub Actions integriert, gute True-Positive-Rate. Unterstützt Java, JavaScript/TypeScript, Python, Go, Ruby, C/C++, C# und Swift. Schwächen: Langsam (CodeQL-Datenbankaufbau kostet Zeit), kostenpflichtig für private Repositories.

Bandit (Python) und Gosec (Go) sind sprachspezifische Tools: Bandit findet Hardcoded Secrets, unsichere Crypto und Shell-Injection in Python-Code. Gosec erkennt SQL-Injection, Path-Traversal und Crypto-Fehler in Go-Projekten. Beide sind OSS und sehr schnell.

SCA - Software Composition Analysis

SCA zielt darauf ab, bekannte CVEs in Open-Source-Dependencies zu finden. Der Ablauf: Lock-File lesen (package-lock.json, requirements.txt, go.sum), Dependency-Baum aufbauen (inklusive transitiver Dependencies), gegen CVE-Datenbanken abgleichen (NVD, OSV, GitHub Advisory DB) und Report erstellen.

Snyk: Tiefe Dependency-Baum-Analyse, automatische Fix-PRs, Lizenz-Scanning (GPL-Copyleft-Risiken), Container-Scanning, gute False-Positive-Rate, Free Tier mit 200 Tests/Monat. Schwäche: Kostenpflichtig für CI/CD-Integration mit vielen Tests, proprietär.

Dependabot (GitHub nativ): Automatisch in GitHub integriert, kostenlos, Auto-PRs für Security-Updates, breite Ecosystem-Unterstützung. Schwäche: Nur GitHub-Integration.

OWASP Dependency-Check: OSS und kostenlos, viele Sprachen und Ökosysteme, Jenkins/Maven/Gradle-Plugin. Schwäche: Höhere False-Positive-Rate als Snyk.

Trivy (OSS von Aqua Security): Scannt Container-Images, Dateisystem und Git-Repos. Erkennt OSS-Pakete und OS-Packages (apt/rpm) in einem Tool, ist schnell ohne Server, exportiert SBOM (CycloneDX, SPDX) und prüft Fehlkonfigurationen in Terraform, Kubernetes und Dockerfiles. Empfehlung für Container-zentrierte Workflows:

trivy image my-app:latest
trivy fs ./src/
trivy repo https://github.com/company/repo

Secrets Scanning

Entwickler committen versehentlich API-Keys, Passwörter, Zertifikate und Cloud-Credentials in Git-Repositories. GitHub scannt public Repos bereits automatisch, aber eigene Kontrolle ist trotzdem nötig.

Gitleaks: OSS und sehr schnell (Go-basiert), Pre-Commit-Hook verhindert Commits mit Secrets, viele vordefinierte Regex-Patterns (AWS, GCP, Stripe, GitHub), Custom Rules möglich. Konfiguration:

gitleaks protect --staged  # Prüft staged Changes vor Commit
gitleaks detect            # Prüft gesamte Git-History
# .gitleaks.toml
[extend]
useDefault = true
[[rules]]
id = "custom-internal-key"
regex = "INTERNAL-KEY-[A-Z0-9]{32}"

TruffleHog: Prüft auch Metadaten, Commit-Messages und Branch-Namen, Entropy-basierte Erkennung, verifiziert gefundene Secrets gegen APIs.

GitGuardian: Cloud-Service mit einfacher GitHub-Integration, Echtzeit-Monitoring mit sofortigem Alert bei Push, automatische Benachrichtigung der Entwickler. Kostenpflichtig für Teams.

GitHub Secret Scanning: Automatisch in public Repos (kostenlos), GitHub Advanced Security für private Repos, Push-Protection blockiert Push wenn Secret erkannt.

Best Practice für die Secret-Scanning-Pipeline: Gitleaks als Pre-Commit-Hook lokal, Gitleaks für neue Commits in CI, TruffleHog nächtlich für tiefere historische Analyse.

DAST - Dynamic Application Security Testing

DAST testet die laufende Applikation von außen (Black Box). Es kann Authentifizierungs-Bypass, Business-Logic-Fehler, Konfigurationsfehler (TLS, Headers), Laufzeit-Schwachstellen und Injections gegen die echte Anwendung finden. Es kann keine Code-Fehler ohne Außenwirkung erkennen und hat keinen 100%-Coverage-Anspruch.

OWASP ZAP: OSS und kostenlos, Baseline-Scan für CI/CD integrierbar, Active Scan für tiefere Untersuchung, OpenAPI/Swagger-Import für API-Testing, AJAX-Spider für SPAs. Docker-Integration:

docker run -t owasp/zap2docker-stable zap-baseline.py \
  -t https://staging.example.com \
  -r report.html \
  -z "-config scanner.threadPerHost=2"

Nuclei: Template-basiert mit über 7000 Community-Templates, sehr schnell (Go, parallel), eigene YAML-Templates einfach schreibbar, CVE-spezifische Templates, unterstützt APIs, DNS, SSL und HTTP in einem Tool. Schwäche: Kein Deep-Crawling.

nuclei -u https://target.com -t nuclei-templates/
nuclei -u https://target.com -tags cve,misconfig -severity critical,high

Burp Suite Pro: Mächtigstes Web-App-Testing-Tool, Burp Suite Enterprise ermöglicht CI/CD-Integration. Kostenpflichtig (£449+/Jahr), Enterprise-Version sehr teuer, nicht vollständig automatisierbar.

CI/CD Integration - Komplette Pipeline

Eine vollständige GitHub-Actions-DevSecOps-Pipeline kombiniert alle Kategorien:

name: DevSecOps Pipeline
on: [push, pull_request]

jobs:
  sast:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
        with:
          fetch-depth: 0

      - name: Gitleaks Secret Scan
        uses: gitleaks/gitleaks-action@v2
        env:
          GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}

      - name: Semgrep SAST
        uses: returntocorp/semgrep-action@v1
        with:
          config: "p/python p/javascript p/owasp-top-ten"
          publishToken: ${{ secrets.SEMGREP_APP_TOKEN }}

  sca:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4

      - name: Trivy SCA Scan
        uses: aquasecurity/trivy-action@master
        with:
          scan-type: 'fs'
          scan-ref: '.'
          exit-code: '1'
          severity: 'CRITICAL,HIGH'
          format: 'sarif'
          output: 'trivy-results.sarif'

      - name: Upload Trivy SARIF
        uses: github/codeql-action/upload-sarif@v3
        with:
          sarif_file: 'trivy-results.sarif'

  dast:
    runs-on: ubuntu-latest
    needs: [sast, sca]
    services:
      app:
        image: ${{ env.APP_IMAGE }}
        ports: ['8080:8080']
    steps:
      - name: OWASP ZAP Baseline Scan
        uses: zaproxy/action-baseline@v0.10.0
        with:
          target: 'http://localhost:8080'
          fail_action: warn

Quality Gates: SAST und Secrets schlagen fehl und blockieren den Merge. SCA Critical schlägt fehl. SCA High erfordert ein Review. DAST erfordert ein Senior-Review, Critical/High blockieren den Deploy.

GitLab CI bietet eingebaute Security-Templates die einfach eingebunden werden können:

stages: [sast, sca, dast, deploy]
include:
  - template: Security/SAST.gitlab-ci.yml
  - template: Security/Dependency-Scanning.gitlab-ci.yml
  - template: Security/Secret-Detection.gitlab-ci.yml
  - template: DAST.gitlab-ci.yml

Tool-Auswahl nach Maturity Level

Level 1 - Startpunkt (kostengünstig, sofort umsetzbar): Gitleaks als Pre-Commit-Hook, Semgrep OSS für die Hauptsprache, Dependabot automatisch in GitHub, OWASP ZAP Baseline über Docker. Einrichtungsaufwand: 1-2 Tage.

Level 2 - Fortgeschritten: GitGuardian oder Gitleaks mit TruffleHog für Secrets, SonarCloud und Semgrep ergänzend für SAST, Snyk mit Auto-Fix-PRs und Trivy für Container als SCA, Nuclei und ZAP Active Scan auf Staging für DAST, Trivy Misconfig und Checkov für IaC. Einrichtungsaufwand: 1-2 Wochen.

Level 3 - Enterprise: GitGuardian Enterprise mit GitHub Advanced Security, CodeQL und SonarQube Enterprise für SAST, Snyk Enterprise mit SBOM-Management (DependencyTrack) für SCA, Burp Suite Enterprise und HawkScan für DAST, Contrast Security oder Seeker für IAST, Prisma Cloud oder Wiz für CSPM. Einrichtungsaufwand: 1-3 Monate, jährliche Kosten: 50.000-300.000 EUR (Enterprise).

Fragen zu diesem Thema?

Unsere Experten beraten Sie kostenlos und unverbindlich.

Erstberatung

Über den Autor

Chris Wojzechowski
Chris Wojzechowski

Geschäftsführender Gesellschafter

E-Mail
PGP 465C26E1AF161AFA

Geschäftsführender Gesellschafter der AWARE7 GmbH mit langjähriger Expertise in Informationssicherheit, Penetrationstesting und IT-Risikomanagement. Absolvent des Masterstudiengangs Internet-Sicherheit an der Westfälischen Hochschule (if(is), Prof. Norbert Pohlmann). Bestseller-Autor im Wiley-VCH Verlag und Lehrbeauftragter der ASW-Akademie. Einschätzungen zu Cybersecurity und digitaler Souveränität erschienen u.a. in Welt am Sonntag, WDR, Deutschlandfunk und Handelsblatt.

10 Publikationen
  • Einsatz von elektronischer Verschlüsselung - Hemmnisse für die Wirtschaft (2018)
  • Kompass IT-Verschlüsselung - Orientierungshilfen für KMU (2018)
  • IT Security Day 2025 - Live Hacking: KI in der Cybersicherheit (2025)
  • Live Hacking - Credential Stuffing: Finanzrisiken jenseits Ransomware (2025)
  • Keynote: Live Hacking Show - Ein Blick in die Welt der Cyberkriminalität (2025)
  • Analyse von Angriffsflächen bei Shared-Hosting-Anbietern (2024)
  • Gänsehaut garantiert: Die schaurigsten Funde aus dem Leben eines Pentesters (2022)
  • IT Security Zertifizierungen - CISSP, T.I.S.P. & Co (Live-Webinar) (2023)
  • Sicherheitsforum Online-Banking - Live Hacking (2021)
  • Nipster im Netz und das Ende der Kreidezeit (2017)
IT-Grundschutz-Praktiker (TÜV) IT Risk Manager (DGI) § 8a BSIG Prüfverfahrenskompetenz Ausbilderprüfung (IHK)
Vollständiges Profil ansehen
Dieser Artikel wurde zuletzt am 04.03.2026 bearbeitet. Verantwortlich: Chris Wojzechowski, Geschäftsführender Gesellschafter bei AWARE7 GmbH. Lizenz: CC BY 4.0 - freie Nutzung mit Namensnennung: „AWARE7 GmbH, https://a7.de