Fuzzying vs. statische CodeanalyseIst modernes Fuzzing die Zukunft von DevSecOps?
Von
Sergej Dechand
Hinter dem Begriff DevSecOps steckt die Idee, dass jedes Teammitglied eines Softwareprojekts für die Entwicklung, den Betrieb und die Sicherheit des gesamten Softwareprojekts verantwortlich ist. Aus der Sicherheitsperspektive steht die Verantwortungsverteilung für die Sicherheit der Systeme im Mittelpunkt. Dabei versprechen u.A. statische Codeanalysen, Testgeneratoren und zahlreiche Machine Learning-Ansätze einen erhöhten Grad an Automatisierung.
Betrachtet man die Möglichkeiten und Chancen, die Fuzzing bietet, dürfte eigentlich keine Software mehr ausgeliefert werden, die Fehler enthält, welche mittels Fuzzing hätten verhindert werden können.
Im Application Security Testing kommt vor allem die statische Codeanalyse (Static Application Security Testing, SAST) zum Einsatz. Hierbei wird der Quellcode gescannt, ohne diesen tatsächlich auszuführen. Der Schwerpunkt der Suche wird auf verdächtige Muster im Kontroll-/Datenfluss gelegt, welche mithilfe von Heuristiken und festen Regeln verfolgt werden. Jene Codestellen, die mit verdächtigen Mustern übereinstimmen und auf potenzielle Schwachstellen hinweisen könnten, werden dem Entwickler als verdächtig oder als Fehler präsentiert. Da SAST-Tools den Code nicht ausführen, sind diese leicht zu integrieren und werden deshalb in nahezu jedem Softwareprojekt eingesetzt. Zudem kann statische Codeanalyse in nahezu jeder Phase des Entwicklungsprozesses eingesetztvv werden. Im besten Fall wird diese bereits in der Entwicklungsumgebung ausgeführt, um bereits in noch nicht fertiggestelltem Code Schwachstellen aufzudecken, noch bevor dieser ins Repository eingecheckt wird.
Einer der größten Nachteile der statischen Analyse ist, dass diese zahlreiche False Positives und False Negatives produziert. Es werden also Warnungen herausgegeben, obwohl keine wirklichen Schwachstellen im Code enthalten sind. Gleichzeitig werden zahlreiche Schwachstellen übersehen, die dann bei der Ausführung (nicht) auftreten. In der Praxis können bei großen Projekten leicht viele Tausend Warnungen auftreten (wovon nur ein geringer Prozentsatz tatsächliche Fehler sind), die im schlimmsten Fall manuell überprüft werden müssen, bevor eine Software releast werden kann. Dies bringt wiederum enorme Benutzbarkeitsprobleme mit sich, welche darin münden, dass Ergebnisse der statischen Analyse häufig von Entwicklern weniger ernst genommen und damit sogar das Thema Sicherheit damit vernachlässigt wird. Eine übliche Lösungsstrategie besteht darin, die Analyse der Warnungen an externe Consultants auszulagern. Ein solches Vorgehen widerspricht allerdings der grundlegenden Philosophie (“Multi-funktionales Team”) von DevSecOps, da so die Verantwortung für die Sicherheit an Dritte u.U. mit fehlendem Domänenwissen abgegeben wird.
Viele Software-Fehler könnten bereits mit einer statischen Analyse vermieden werden. Allerdings wird die Effektivität und Effizienz dieses Verfahrens durch Benutzbarkeitseinschränkungen erschwert, wie durch das häufige Vorkommen von False Positives und Negatives. Bei der Ausführung des Codes kommt es dann in der Praxis zu Abstürzen und Sicherheitsproblemen, die in der Analyse nicht gefunden werden konnten.
Es stellt sich daher die Frage, ob der alleinige Einsatz der statische Codeanalyse in der CI/CD ausreicht, um die Sicherheit eines Produkts und die Effektivität der überprüfenden DevSecOps Teams zu gewährleisten? Viele Organisationen entscheiden sich für Statische Codeanalyse aufgrund der einfachen Integration und damit einhergehenden Eindrucks, Sicherheits- und Qualitätsmaßnahmen ergriffen zu haben. Um Projekte kontinuierlich und qualitativ hochwertig zu sichern, sind allerdings weitere Testansätze in der Pipeline erforderlich.
Fuzzing - Dynamische Codeanalyse für DevSecOps
Die dynamische Codeanalyse, die im Gegensatz zur statischen Codeanalyse die Applikation während ihrer Laufzeit testet und sie mit Eingabewerten ausgeführt, steckt im DevSecOps-Bereich noch in den Kinderschuhen. Allerdings setzt sich das moderne Fuzzing, welches auch Feedback-Based, Coverage-Based sowie instrumentiertes Fuzzing genannt wird, bei Sicherheitsforschern, Software Testing-Experten und Technologieführern wie Google zum effektivsten Werkzeug für automatisiertes Testing durch.
Bei Fuzzing wird die zu testende Software mit einer Reihe von Eingabewerten ausgeführt, die im Folgeprozess gezielt mutiert werden. Die Mutation basiert dabei auf den Rückmeldungen über den auf dem Ausführungspfad abgedeckten Code, aufgetretenen Instruktionen, sowie der unterschiedlichen Zustände, die das Testwerkzeug während der Ausführung der Eingaben erhält. Die Entscheidungen der Fuzzing Engines können so in den Folgeläufen iterativ zu sinnvolleren Mutationen führen. Im Gegensatz zum traditionellen bzw. Black-Box-Fuzzing erkundet das moderne Fuzzing den Programmzustand effektiv und entdeckt Fehler, die tief im Code verborgen sind (z.B. bei Randfällen, die im manuellen Testing vergessen wurden).
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Ein Blick zu den Technologieführern, wie Google und Microsoft, zeigt, dass dort moderne Fuzzing-Techniken bereits nahezu flächendeckend verwendet werden, um den eigenen Code auf Sicherheit und Zuverlässigkeit zu testen. So wurden beispielsweise in Google Chrome und mehreren Open-Source-Projekten über 27.000 Fehler gefunden. Google gab dazu 2019 an, mittlerweile 80 Prozent ihrer Bugs mittels Fuzzing zu finden. Dabei ist Fuzzing bereits automatisiert in ihren CI/CD Pipelines integriert und zeigt die Wirksamkeit von Fuzzing in der Aufdeckung von Bugs und Schwachstellen.
Genau wie Unit- und System-Tests, hat Fuzzing damit das Potenzial die Art und Weise, wie Software weltweit getestet wird, zu verändern. Entwickler, brauchen weniger Kapazitäten in Unit-Tests eine Bandbreite an möglichen Randfällen abzudecken. Stattdessen können DevSecOps-Teams Fuzz-Tests einrichten, die automatisch viele unvoreingenommene Testfälle erzeugen. Fuzzing kann die Entwicklungskosten durch die Verbesserung der Effektivität und Effizienz der Entwickler massiv zu senken. Dennoch ist es sinnvoll, Fuzzing mit statischer Analyse zu verbinden, um z.B. das Auffinden von externen Schnittstellen, die automatisiert gefuzzt werden können, zu erleichtern und die Maximierung der Code-Abdeckung während der Testläufe zu ermöglichen.
Verschenktes Potenzial nutzen
Bis auf die Technologieführer setzen vor allem in Europa nur wenige Unternehmen auf die vielversprechenden Fuzzing-Technologien. Stattdessen findet das (Pen)Testing nach wie vor hauptsächlich manuell bei der Abnahme mit komplexen PSA-Prozessen (Privacy and Security Assessment) statt. Die führt vor allem zu zwei Konsequenzen:
1. Der Einsatz kostspieliger Pentester-Ressourcen führt zu unnötig hohen und vermeidbaren Kosten. Pentester sind zwar für die finalen Abnahmetests unabdingbar, ihre Arbeitskraft sollte allerdings nicht für das Auseinandersetzen mit Fehlern verschwendet werden, die präventiv mit Fuzzing automatisiert gefunden werden könnten.
2. Bugs und Sicherheitslücken werden nicht entdeckt und gelangen letztendlich sogar in Produktion. Das liegt daran, dass Applikationssicherheit ohne Fuzzing immer nur so gut ist, wie der jeweilige Pentester selbst. Fuzzing findet erwiesenermaßen Bugs und Sicherheitslücken in Software, die sogar nach erfolgreichen Reviews durch gut ausgebildete Sicherheitsexperten, erfolgreichen statischen Codeanalyse und Pentests durch namhafte Bughunter als sicher eingestuft wurden. Dies wird in Projekten wie den Linux-Kernel und Google Chrome besonders ersichtlich, da diese eine gewisse Größe und eine besonders hohe Komplexität aufweisen.
Warum wird dann Fuzzing, bis auf die führenden Unternehmen in DevSecOps noch kaum eingesetzt? Open Source Fuzz Testing Tools, wie z.B. american fuzzy loop (AFL) oder libFuzzer sind in den meisten Teams noch völlig unbekannt, die Benutzbarkeit wird als noch zu schlecht bewertet, und vor allem gibt es Kritik beim Integrationsaufwand. An dieser Stelle reagiert bereits der Markt, immer mehr kommerzielle Anbieter bieten bereits für unterschiedliche Domänen moderne Fuzzing in DevSecOps an. Ob es tatsächlich funktionieren wird, Fuzzing effektiv in DevSecOps einzubinden, wird entscheidend davon abhängen, ob man diese Integrations- und Benutzbarkeits-Schwierigkeiten in den nächsten Jahren in Griff bekommt. Denn nur wenn dies möglich ist, lässt sich am Ende “Sec” effektiv und zuverlässig mit “DevOps” vereinen.
Betrachtet man die Möglichkeiten und Chancen, die Fuzzing bietet, dürfte eigentlich keine Software mehr ausgeliefert werden, die Fehler enthält, welche mittels Fuzzing hätten verhindert werden können. Auch Angreifer nutzen alle Möglichkeiten, die sich ihnen bieten. Sie können ebenfalls Fuzzing-Techniken verwenden, um Fehler in der Software zu finden und diese auszunutzen. Insbesondere können sie es dann ausnutzen, wenn die ausführbare Software in Besitz ist. Als Softwarehersteller hat man allerdings durch den Besitz der Quellcodes und die damit verbundene Instrumentierung einen enormen Heimvorteil gegenüber dem Angreifer und sollte diese auch nutzen.
Über den Autor: Sergej Dechand ist CEO und Co-Founder von Code Intelligence. Das Unternehmen legt Wert darauf, komplexe Softwaretesting-Methoden für den Entwickler einfacher zu gestalten. Sergej hat einschlägige Erfahrungen als externer Softwareentwickler und IT-Berater für unterschiedliche DAX-Unternehmen und als Projektleiter am Fraunhofer FKIE gesammelt. Neben seinen Aufgaben bei Code Intelligence ist er aktiv an der Forschung im Bereich der Usable Security der Universität Bonn eingebunden, wo er auch als Dozent tätig ist.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/51/66/51660e057f62d85982b75b6404a6bbac/0129159958v1.jpeg "Mit Detail über die sechs Sicherheitslücken in seiner Web-Help-Desk-Plattform hält sich Solarwinds zurück. Das Update 2026.1 löst die Probleme. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/56/8a56876842cf7ae84ada13c953a057d7/0128659324v2.jpeg "Die mutmaßlich mit China verbundene Hackergruppe LongNosedGoblin spioniert Regierungsnetzwerke in Asien aus, indem sie Windows-Gruppenrichtlinien missbraucht, um Malware unauffällig zu verteilen und dabei auch Cloud-Dienste für ihre Kommando- und Kontrollverbindungen nutzt. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/84/2b/842b3ec97d08ff445b7e2ee1c2c20166/0129087831v2.jpeg "Die Command-Injection-Schwachstelle EUVD-2026-3437 / CVE-2026-22844 gilt als leicht auszunutzen, das sie keine speziellen Berechtigungen oder Benutzerinteraktionen erfordert, um beliebigen Code auszuführen. (Logo:Zoom)")
:quality(80)/p7i.vogel.de/wcms/39/a9/39a9c9edbf9edbcfdf7e01d87104b924/0129255851v2.jpeg "Auch 2025 fand die European Identity and Cloud Conference in Berlin statt und brachte Experten aus dem Bereich Identity and Access Management zusammen. (Bild: mail@nicolas~det.eu)")
:quality(80)/p7i.vogel.de/wcms/2a/d2/2ad24b8d60acdfa806bbfa72d91e7443/0129075770v2.jpeg "Über 90 Prozent der Ransomware-Angriffe treffen das Active Directory, aber klassische Backups und manuelle Recovery scheitern meist unter Zeitdruck und Komplexität. (Bild: © Westlight - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/c3/01c3f3c0dcae9a2d0deb51890bcf31f8/0128772245v1.jpeg "„In Summe muss eine zeitgemäße Backup-Strategie im Jahr 2026 die zunehmenden Risiken minimieren, eine hochgradig sichere Datenspeicherung beinhalten und langfristig die Geschäftskontinuität gewährleisten.“ – Greg Hansbuer von Pink Elephant (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e3/48/e348498d4582bb6d2bd6993b70462a5b/0129264709v2.jpeg "Bei der Microsoft-365-Security gibt es viele blinde Flecken, auf die IT-Verantwortlichen in Unternehmen achten müssen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/9a/22/9a22abecd3b81745aafb5167c9a4eed5/0129101394v1.jpeg "OPSI wird nach dem WSUS-Ende zur Open-Source-Alternative und verwaltet Windows, Linux und macOS zentral mit automatischen Updates und Echtzeit-Status. Mehr in Text, Bildergalerie und Video (Tool-Tipp 38). (Bild: © Irene Kulinchyk - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1d/db/1ddbdc9047cbd3cd27d7cb0efca62bc4/0128713610v2.jpeg "Am 25. Dezember 2025 griffen mutmaßlich japanische Cyberkriminelle Adobe-ColdFusion-Server, mit dem Ziel, Zugriffe zu kapern, um diese dann zu verkaufen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/10/63/106390170e625796de904d5adb61439f/0124316479v2.jpeg "Use-after-Free ist ein Softwarefehler bei der Verwaltung von dynamischem Speicher, durch den eine Schwachstelle entsteht. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/d9/ca/d9ca10c14ad3318723d5e0781475f3c0/0125540345v1.jpeg "Paket-Halluzinationen verbreiten sich wie Lauffeuer durch KI-gestützte Autovervollständigung von Code, durch gefälschte Tutorials und KI-generierte, wiederverwendbare Code-Snippets. (Bild: © leszekglasner - stock.adobe.com)")