Ressourcen
>
Blog
>
Statische Source Code Analyse vs. Binärscans

Statische Source Code Analyse vs. Binärscans

August 20, 2025
4
min. Lesezeit
Sebastian Schneider
Sebastian Schneider
Customer Success Engineer
Sebastian Schneider
Sebastian Schneider
Sebastian Schneider
Customer Success Engineer
August 20, 2025
4
 min read
Inhaltsverzeichniss
Beispiel H2

SIND SIE BEREIT, IHR RISIKOMANAGEMENT ZU VERBESSERN?

Machen Sie Cybersicherheit und Compliance mit ONEKEY effizient und effektiv.

Eine Demo buchen

Statische Codeanalyse und Binärscans dienen unterschiedlichen Zwecken, sind jedoch beide unverzichtbar.  Während die statische Codeanalyse die Qualität Ihres selbst geschriebenen Codes verbessert, verfolgt der Binärscan einen umfassenderen Ansatz: Er analysiert die gesamte Firmware – auch ohne Source Code. Er deckt Schwachstellen auf, erkennt unbekannte Fehler und erstellt eine Software-Stückliste (SBOM). Zusammen bilden sie eine leistungsstarke Kombination für eingebettete Sicherheit.

Statische Source Code Analyse

Statische Codeanalyse ist ein grundlegender Bestandteil der modernen Softwareentwicklung. Sie scannt Ihren Source Code auf Fehler, Stilfehler und potenzielle Sicherheitsprobleme. Und das alles, bevor Sie ihn kompilieren und ausführen. Sie liefert hervorragende Ergebnisse für Ihre selbst entwickelten Anwendungen oder Produkte.

Aber hier ist der Haken: Sobald Sie Bibliotheken von Drittanbietern und deren Open-Source-Abhängigkeiten hinzufügen, übernehmen Sie auch deren potenziellen Schwachstellen. Darüber hinaus sind Sie ab jetzt für diese verantwortlich – wenn Sie es ausliefern, gehört es ihnen. Heutige eingebettete Systeme sind stark auf Free and Open-Source Software (FOSS) wie Linux angewiesen.

 Mit FOSS bedeutet das:

  • Sicherstellung der Compliance
  • Überwachung öffentlicher Quellen auf Sicherheitsupdates
  • Aktualisierung von Komponenten, wenn neue CVEs auftreten

Sie könnten eine statische Analyse für Code von Drittanbietern durchführen – aber das ist leichter gesagt als getan:

  • Der Source Code ist möglicherweise gar nicht verfügbar (z. B. vorkompilierte Bibliotheken).
  • Große Codebases können Entwickler überfordern.
  • Alle Fehler selbst beheben? Nicht skalierbar.
  • Und was passiert, wenn das nächste Update zu Merge-Konflikten führt?

Die statische Codeanalyse ist auch blind gegenüber dem, was nach der Kompilierung Ihres Codes geschieht. Wenn sich während der Paketierung oder Bereitstellung etwas Schädliches einschleicht, wird dies von statischen Tools nicht erkannt. Auch unsichere Konfigurationen oder Fehler auf Designebene werden nicht erkannt.

Statische Source Code Analyse: Stärken und Schwächen

Stärken:

  • Erkennen von Codierungs- und Stilfehlern
  • Meistens hervorragende Ergebnisse für selbst entwickelte Apps oder Produkte

Schwächen:

  • Basiert auf Source Code
  • Schwachstellen von Drittanbietern können nicht erkannt werden.
  • Überprüft nicht auf Probleme mit Open-Source-Lizenzen.
  • Nicht geeignet, um eine große Anzahl von Fehlern zu beheben.
  • Blind gegenüber sensiblen Daten wie fest codierten Passwörtern oder privaten Schlüsseln

Binärscans

Volle Transparenz auch ohne Source Code.

Betrachten Sie das binäre Scannen als letzte Qualitätssicherung vor der Auslieferung Ihres Produkts. Genauso wie physische Waren einer Qualitätskontrolle unterzogen werden, sollte auch Ihre Firmware einer Sicherheitskontrolle unterzogen werden.

Binärscans analysieren das vollständige Firmware-Image (kompiliert, gepackt und fertig zur Auslieferung). Es bietet Ihnen Einblicke, die mit statischer Analyse nicht möglich sind.

Sie wissen genau, was drin ist:

  • Eingebettete Komponenten (auch statisch verknüpfte)
  • Bekannte Sicherheitslücken (CVEs)
  • Geheimnisse wie Passwörter und private Schlüssel
  • Fehlkonfigurationen oder riskante control flows

Das Scannen von Binärdateien bietet Ihnen mehr als nur die Komponenten Ihrer Software. Es verschafft Ihnen einen ganzheitlichen Überblick über alle Ihre Ergebnisse: Sie müssen sich nicht mit Compiler-Einstellungen oder dem Build-Prozess herumschlagen. Das Scannen von Binärdateien hilft Ihnen dabei, echte Bedrohungen von Fehlalarmen zu unterscheiden.

Wie eine binäre Firmware Analyse aussieht:

  1. Extraktion: Das binary image wird rekursiv entpackt. Archive werden automatisch identifiziert und extrahiert, bis alle Dateien angezeigt werden.
  2. Dateiklassifizierung: Jede extrahierte Datei wird analysiert und klassifiziert: Plain Text, binary oder Skript. Der Scan überprüft auch den Inhalt, um sensible Daten wie eingebettete Zertifikate oder private Schlüssel aufzudecken.
  3. Komponentenerkennung: Dateien werden auf bekannte Signaturen gescannt, um Anwendungen, Bibliotheken und sogar statisch verknüpfte Abhängigkeiten zu identifizieren. Auch Quellen wie eingebettete Paketmanager werden analysiert. Eine genaue Versionserkennung ist entscheidend für eine zuverlässige Zuordnung von Schwachstellen.
  4. Bekannte Schwachstellen überprüfen: Anhand der SBOM oder der Komponentenliste werden öffentliche Datenbanken wie die NVD auf bekannte Schwachstellen abgefragt. Eine kontextbezogene und ganzheitliche Betrachtung hilft dabei, firmware-spezifische Erkenntnisse zu gewinnen, um Fehlalarme herauszufiltern, wie z. B. CVEs, die nicht auf die Architektur zutreffen (z. B. x86 vs. ARM).
  5. Überprüfen Sie unbekannte Schwachstellen und Konfigurationsfehler: Dieser Schritt markiert unerwünschte oder riskante Komponenten. Dabei wird geprüft, ob diese schädlich sind, nicht compliant sind oder Geheimnisse wie private Schlüssel oder Passwörter preisgeben. Außerdem werden unsichere control flows erkannt, wodurch eine tiefere Analyse auf potenzielle Schwachstellen möglich wird.

Zusammenfassung der binären Firmware Analyse

  • Fokus auf command injection, controlled format string und buffer overflow
  • Funktioniert auch für Komponenten von Drittanbietern ohne Source Code
  • Komponentenerkennung
  • Erkennt Maßnahmen zur Risikominderung während der Kompilierung
  • Erkennt unerwünschte/gefährliche Komponenten

ONEKEY Plattform: Automatisiertes Scannen von Binärer Firmware

Schnell. Genau. Mühelos.

ONEKEYs Produktplattform für Cybersicherheit und Compliance (OCP) bringt die Analyse von Binary-Firmware auf das nächste Level. Es erkennt nicht nur Komponenten und Schwachstellen, sondern versteht auch die Kontextinformationen, die in einer Firmware enthalten sind. Dadurch werden Fehlalarme drastisch reduziert.

Was Sie mit ONEKEY erhalten:

  • SBOM Generierung direkt aus Firmware Images
  • Intelligente CVE-Abgleichung im Kontext der Architektur
  • Erkennung von statisch verknüpften und Drittanbieter-Komponenten
  • Automatisierte deep scans auf Fehlkonfigurationen und riskante Dateien
  • Identifizierung von leaked Credentials und Keys
  • Nahtlose Integration von CI/CD und Ticketingsystem über API

Schlussfolgerung

Das Gesamtbild:

Die statische Codeanalyse hilft vor allem bei Ihrem eigenen Source Code.
Das Scannen von Binärdateien gewährleistet die Sicherheit Ihres gesamten Produkts mit all seinen Komponenten.

Durch die Kombination beider Komponenten erhalten Sie vollständige Transparenz. Von der ersten Codezeile bis zum endgültigen Firmware-Image.

Mit ONEKEY automatisieren Sie den gesamten Prozess, reduzieren Risiken und sind Bedrohungen immer einen Schritt voraus – auch ohne Source.

Möchten Sie wissen, was wirklich in Ihrer Software steckt und wie Sie viel Zeit und Geld sparen können mit Folgenabschätzung?

Buchen Sie eine Demo und überzeugen Sie sich selbst.

BUILD. COMPLY. RESIST. REPEAT.

Teilen

Über Onekey

ONEKEY ist der führende europäische Spezialist für Product Cybersecurity & Compliance Management und Teil des Anlageportfolios von PricewaterhouseCoopers Deutschland (PwC). Die einzigartige Kombination der automatisierten ONEKEY Product Cybersecurity & Compliance Platform (OCP) mit Expertenwissen und Beratungsdiensten bietet schnelle und umfassende Analyse-, Support- und Verwaltungsfunktionen zur Verbesserung der Produktsicherheit und -konformität — vom Kauf über das Design, die Entwicklung, die Produktion bis hin zum Ende des Produktlebenszyklus.

KONTAKT:
Sara Fortmann
Senior Marketing Manager
sara.fortmann@onekey.com

euromarcom public relations GmbH
team@euromarcom.de

VERWANDTES BLOG POST

Ohne Cybersicherheit keine Marktzulassung: Wie Unternehmen den CRA erfolgreich umsetzen
Blog
Aug 20, 2025
3
min. Lesezeit

Ohne Cybersicherheit keine Marktzulassung: Wie Unternehmen den CRA erfolgreich umsetzen

Das EU-Gesetz zur Cyber-Resilienz (CRA) macht Cybersicherheit zu einer Voraussetzung für die CE-Kennzeichnung. Erfahren Sie, wie Unternehmen die Konformität erreichen, die Sicherheit gewährleisten und den Marktzugang sichern können.

Mehr lesen
Understanding the EU Cyber Resilience Act and achieve product cybersecurity compliance with ONEKEY’s whitepaper
Blog
Feb 6, 2023
3
min. Lesezeit

Understanding the EU Cyber Resilience Act and achieve product cybersecurity compliance with ONEKEY’s whitepaper

ONEKEY Whitepaper: Enhance EU CRA compliance. Streamline supply chain risk management & automate compliance controls for secure device market. Download now!

Mehr lesen
EU-Cyber Resilience Act: Worauf Sie jetzt achten sollten
Blog
Jan 15, 2023
8
min. Lesezeit

EU-Cyber Resilience Act: Worauf Sie jetzt achten sollten

Bleiben Sie auf dem Laufenden und bleiben Sie geschützt mit unserem Blog zum EU Cyber Resilience Act. Erfahren Sie, was die neue Verordnung für Ihr Unternehmen bedeutet und wie Sie die Vorschriften einhalten können.

Mehr lesen

Bereit zur automatisierung ihrer Cybersicherheit & Compliance?

Machen Sie Cybersicherheit und Compliance mit ONEKEY effizient und effektiv.

Eine Demo buchen