Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

16.04.2004 - 

Fehler schon während der Entwicklung entdecken

Fortify checkt Code auf Schwachstellen

MÜNCHEN (CW) - Eine kalifornische Startup-Company will dafür sorgen, dass Applikationen weniger Schwachstellen enthalten. Die Spezial-Tools von Fortify Software sollen in Java oder C++ geschriebenen Sourcecode schon während der Entwicklung auf mögliche Sicherheitslecks hin untersuchen können.

Immer mehr Hacker versuchen, Programmierfehler innerhalb von Web-Applikationen oder via Internet zugänglichen Legacy-Anwendungen auszunutzen, um auf wichtige Daten oder Ressourcen zuzugreifen. Herkömmliche Schutzmethoden versagen hier.

Um solche Probleme zu verhindern, hat Fortify die Produktsuite "Source Code Analysis" entwickelt. Sie nutzt eine Technik, die der Hersteller "Extended Static Checking" nennt, und ist damit nach Angaben von Mike Armistead, Vice President Marketing bei Fortify, in der Lage, Quellen für Buffer Overflows, Formatkettenfehler oder unkontrollierte Eingaben aufzuspüren. Dabei analysiert die Lösung unter anderem Eigenschaften des Quellcodes und nicht nur - wie andere Lösungen - das Verhalten des fertigen Programmes. Nach Ansicht von Theresa Lanowitz, Research Director bei Gartner, ist das ein Unterscheidungsmerkmal zu Produkten konkurrierender Hersteller wie Sanctum oder SPI Dynamics.

Fortify Source Code Analysis setzt sich aus mehreren Komponenten zusammen. Dazu gehört unter anderem das "Fortify Developer Toolkit" und der "Fortify Source Code Analysis Server". Developer Toolkit ist eine Desktop-Anwendung für Linux- und Windows-Umgebungen, die sich mit gängigen integrierten Entwicklungsumgebungen nutzen lässt. Während der Programmierung soll das Werkzeug erkennen, wenn der Mitarbeiter eine potenziell riskante Softwarefunktion nutzen will, und ihn darauf hinweisen.

"Ähnlich wie ein Compiler, der bei einem Programmierfehler ausgibt, dass er den Code nicht parsen kann, teilt Developer Toolkit dem Programmierer mit, dass er eine gefährliche Funktion benutzt, und zeigt ihm, welche Risiken damit verbunden sind", erklärt Armistead. Im Repertoire von Source Code Analysis enthalten ist eine Liste von insgesamt 500 Schwachstellen, die der Anbieter Cigital Inc. erstellt.

Was geschiet intern mit Daten?

Aufgabe der Server-Komponente ist es, das Zusammenspiel von Programmbestandteilen verschiedener Entwickler auf mögliche Sicherheitslecks hin zu überwachen. Dabei prüft der Server beispielsweise, wie an einer Stelle gemachte Eingaben intern weiterverarbeitet beziehungsweise an andere Softwarefunktionen weitergereicht werden.

Außerdem bringt Fortify "Red Team Workbench", eine Applikation, die anhand von statischer und dynamischer Analyse fertige Programme vor dem Einsatz im Unternehmen auf Sicherheitslecks abklopft. Dazu soll es Hack-Versuche und bösartiges Verhalten simulieren. (ave)