Mehr Sicherheit durch weniger Programmierfehler
Ein kleines kalifornisches Start-up-Unternehmen hat eine Software auf den Markt gebracht, die Programmierfehler automatisch aufspürt.
Ein kleines kalifornisches Start-up-Unternehmen hat eine Software auf den Markt gebracht, die Programmierfehler automatisch aufspürt. Fortify Software reagiere damit auf die Mahnung von Experten, dass Sicherheit ein wesentlicher Teil der Programmierarbeit werden muss. Das Toolset soll Software auf Sicherheitslücken überprüfen, noch während die Programme entwickelt werden, und könne dabei bis zu 500 verschiedene Fehler entdecken. Heute werden Anwendungen meist erst nach ihrer Fertigstellung auf Fehler getestet.
“Bisher wurden die Wurzeln vieler solcher Sicherheitsprobleme nicht beachtet, oft sind die Anwendungen an sich von Grund auf verletzlich”, sagte Fortify-Mitbegründer Mike Armistead gegenüber US-Medien. “Die vorherrschende Sicherheitsstrategie ist, die Anwendungen hinter einer Art Schutzwall zu verstecken.” Der Ansatz, die Sicherheit der Programme zu stärken, mache mehr Sinn als nur der Versuch, Attacken abzuwehren. Weniger verwundbare Applikationen seien ebenso entscheidend wie Firewalls und Kontrollsysteme, so Armistead.
Ein kürzlich veröffentlichter Bericht des US-Heimatschutzministeriums stützt diese Theorie. Demnach sind Programmierfehler die Wurzel vieler Sicherheitsprobleme. Die Behörde empfiehlt in ihrer Studie neue Methoden, um sichere Software zu entwickeln. Das wird jedoch immer schwieriger, weil eine steigende Firmenzahl ihre Software verwendet, um Geschäfte mit Zulieferern und Kunden über das Internet abzuwickeln.
Die Analyse-Suite von Fortify beinhalte zwei Komponenten, das Entwickler-Toolkit und einen Server zur Quellcode-Analyse. Das Toolkit arbeite mit dem Entwicklungswerkzeug des jeweiligen Programmierers und laufe sowohl auf Linux- als auch Windows-Desktops. Ein Entwickler könne die Software jederzeit über seinen in Java oder C erstellten Quellcode laufen lassen. Der Analyse-Server soll jenen Programmierern helfen, die für das Zusammenfügen der einzelnen Code-Teile verantwortlich sind. Das Tool durchsuche dabei die Links zwischen den einzelnen Komponenten auf Lücken.