BlogSicherheitSchnellere und präzisere Scans mit GitLab Advanced SAST

Veröffentlicht am: 21. Oktober 2025

5 Minuten Lesezeit

Schnellere und präzisere Scans mit GitLab Advanced SAST

Neue Verbesserungen in GitLab 18.5 erhöhen Genauigkeit und Geschwindigkeit von Advanced SAST für bessere Workflows.

Salman LadhaSalman Ladha

security

product

Static Application Security Testing (SAST) ist ein wesentlicher Bestandteil sicherer Softwareentwicklung. SAST-Tools identifizieren Schwachstellen im Code, bevor diese produktiv werden können. Im vergangenen Jahr haben wir mit GitLab 17.4 Advanced SAST eingeführt, um qualitativ hochwertigere Scan-Ergebnisse direkt in Entwicklungs-Workflows zu liefern. Seitdem hat Advanced SAST Millionen von Scans in über hunderttausend Codebasen durchgeführt. Das Risiko wurde reduziert, und Kunden konnten von Beginn an sicherere Anwendungen entwickeln.

Mit GitLab 18.5 bauen wir auf dieser Grundlage auf. Neue Funktionen verbessern Genauigkeit und Geschwindigkeit. Entwicklungsteams erhalten Ergebnisse, denen sie vertrauen können, ohne dass der Arbeitsfluss unterbrochen wird. Die Verbesserungen umfassen höhere Standardpräzision und Custom Detection Rules. Drei Optimierungen beschleunigen die Scans: Multi-Core-Scanning, algorithmische Optimierungen und Diff-basiertes Scannen. Zusammen machen diese Verbesserungen Advanced SAST präziser und schneller.

Diese Verbesserungen sind besonders relevant für Entwicklungsteams in regulierten Branchen. Systematische Security-Scans sind dort oft Compliance-Anforderung – beispielsweise für Unternehmen mit TISAX-Zertifizierung in der Automobilindustrie oder BaFin-Vorgaben im Finanzsektor. Gleichzeitig müssen diese Scans schnell genug ablaufen, damit Entwicklungsteams produktiv bleiben. Die Kombination aus Genauigkeit und Performance ist entscheidend für erfolgreiche SAST-Programme.

Das Problem: Adoption scheitert an falschen Trade-offs

SAST-Programme scheitern selten an ungenauen Schwachstellenerkennung. Sie scheitern daran, dass Entwicklungsteams die Security-Tools nicht nutzen. Viele AppSec-Lösungen liefern Genauigkeit auf Kosten der Entwicklererfahrung. Andere priorisieren Usability, verlieren aber an Präzision. In der Realität sind beide Dimensionen notwendig. Ohne Genauigkeit vertrauen Entwickler den Ergebnissen nicht. Ohne Geschwindigkeit und Benutzerfreundlichkeit sinkt die Adoption.

Wenn beide Faktoren zusammenkommen, fügt sich Security natürlich in den Entwicklungsprozess ein. Nur so können Security-Teams SAST-Adoption in großem Umfang erreichen. Diese Philosophie prägt die GitLab-Roadmap für Advanced SAST.

Höhere Präzision durch bessere Regeln und Custom Detection

Die integrierten Advanced SAST Rules basieren auf Erkenntnissen des hauseigenen Security-Research-Teams von GitLab. Sie maximieren die Genauigkeit standardmäßig. Bisher konnten Regeln deaktiviert oder in Name, Beschreibung und Severity angepasst werden. Eigene Detection-Logik war jedoch nicht möglich. Mit GitLab 18.5 können Teams nun eigene musterbasierte Custom Rules definieren. Damit lassen sich organisationsspezifische Probleme erkennen – beispielsweise verbotene Funktionsaufrufe. Verstöße gegen Custom Rules werden am selben Ort wie die integrierten GitLab-Regeln gemeldet. Entwicklungsteams erhalten Informationen aus einem zentralen Dashboard.

Custom Rules eignen sich für klar definierte Probleme, die für die Organisation relevant sind. Sie beeinflussen jedoch nicht die Taint-Analyse, die Advanced SAST zur Erkennung von Injections und ähnlichen Schwachstellen nutzt. Custom Rules werden über TOML-Dateien verwaltet, wie andere SAST-Ruleset-Konfigurationen auch. Das Ergebnis: Scan-Ergebnisse mit höherer Qualität, angepasst an den spezifischen Kontext. Security-Teams erhalten mehr Kontrolle. Entwickler erhalten klarere und umsetzbare Findings.

Kürzere Scan-Zeiten für höhere Adoption

Geschwindigkeit ist ein entscheidender Faktor. Wenn ein SAST-Scan zu lange dauert, wechseln Entwickler oft zu anderen Aufgaben. Die Adoption sinkt.

Deshalb haben wir mehrere Performance-Verbesserungen implementiert, um Scan-Zeiten erheblich zu reduzieren – ohne Kompromisse bei der Genauigkeit:

  • Multi-Core-Scanning: Nutzt mehrere CPU-Kerne auf GitLab Runners
  • Diff-basiertes Scannen: Scannt nur den geänderten Code in einem Merge Request
  • Laufende Optimierungen: Intelligentere Algorithmen und Engine-Verbesserungen

Diese Verbesserungen bauen aufeinander auf und liefern schnellere Scans mit erheblichem Impact:

  • Multi-Core-Scanning reduziert die Scan-Laufzeit typischerweise um bis zu 50 Prozent.
  • Diff-basiertes Scannen hilft besonders bei großen Repositories, in denen bei jeder Änderung weniger Code modifiziert wird. Es ist speziell darauf ausgelegt, schnelleres Feedback im Code-Review-Prozess zu liefern, indem es schnellere Scans in Merge Requests ermöglicht. In unseren Tests benötigen viele große Repositories jetzt weniger als 10 Minuten für Ergebnisse in MRs, während Scans zuvor mehr als 20 Minuten dauerten.
  • In aktuellen internen Tests haben algorithmische Optimierungen die Scan-Zeiten bei großen Open-Source-Codebasen um bis zu 71 Prozent reduziert. Apache Lucene (Java) zeigte die größte Verbesserung. Auch andere Projekte wie Django (Python), Kafka und Zulip verzeichneten Performance-Steigerungen von über 50 Prozent im Single-Core-Modus. Die Ergebnisse sind in den Charts unten dargestellt.

Für Entwicklungsteams bedeutet das: schnelleres Feedback in Merge Requests, weniger Wartezeit auf Security-Ergebnisse und eine reibungslosere Adoption. Mit Multi-Core-Scanning und Diff-basierter Analyse werden die Verbesserungen noch größer.

Chart mit Python-Scan-Zeiten

Chart mit Java-Scan-Zeiten

Diese Performance-Verbesserungen spiegeln GitLabs Fokus auf bessere Workflows für Entwicklungsteams wider. Ein Kunde ist kürzlich auf GitLabs Pipeline Execution Policies umgestiegen. Das Ziel: mehr Kontrolle und Flexibilität bei Security-Scans innerhalb der Pipelines. Durch Standardisierung von Templates, Caching und Optimierung der Pipeline-Logik konnte das Team die Laufzeiten für Dependency-Scans von 15–60 Minuten auf nur 1–2 Minuten pro Job reduzieren. Das spart täglich etwa 100 000 Compute Minutes über 15 000 Scans hinweg. Ein klares Beispiel dafür, wie anpassbare und effiziente Pipeline Execution Policies zu schnelleren Feedback-Zyklen, höherer Produktivität und breiterer Adoption führen.

Mit diesen Verbesserungen bietet Advanced SAST Security- und Entwicklungsteams die Genauigkeit, Geschwindigkeit und Flexibilität, die sie für moderne Softwareentwicklung benötigen. Durch Reduzierung von False Positives, Custom Detection und beschleunigte Scan-Zeiten wird Security zu einem Enabler für Entwicklungsteams.

Wie alle Application-Security-Funktionen von GitLab ist Advanced SAST direkt in die DevSecOps-Plattform integriert. Security wird so zu einem natürlichen Bestandteil davon, wie Entwicklungsteams Software erstellen, testen, deployen und absichern.

Das Ergebnis: schnellere Adoption, weniger Bottlenecks und sicherere Anwendungen von Beginn an.

Advanced SAST jetzt testen: Kostenlose Testversion von GitLab Ultimate starten.

Mehr erfahren

Wir möchten gern von dir hören

Hat dir dieser Blogbeitrag gefallen oder hast du Fragen oder Feedback? Erstelle ein neues Diskussionsthema im GitLab-Community-Forum und tausche deine Eindrücke aus.
Share your feedback

Mehr als 50 % der Fortune-100-Unternehmen vertrauen GitLab

Stelle jetzt bessere Software schneller bereit

Erlebe, was dein Team mit der intelligenten

DevSecOps-Plattform erreichen kann.

Kostenlose Testversion anfordern Vertrieb kontaktieren