Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

11.01.2007

Kostenloser Bug-Scan für Java-Applikationen

Ein neuer Service überprüft quelloffene Java-Software auf Schwachstellen.

Fortify Software und das auf Qualitätschecks spezialisierte Projekt FindBugs haben einen kostenlosen Scan-Service an den Start geschickt, der quelloffene Java-Applikationen auf Sicherheitslücken untersucht. Die auf den Namen "Java Open Review" (JOR) getaufte Initiative soll es jedem Open-Source-Projekt ermöglichen, seinen Java-Quellcode mit Hilfe von Fortifys Software zur Codeanalyse sowie dem von der Universität Maryland entwickelten Tool "FindBugs" einer Überprüfung zu unterziehen.

Mehr zum Thema

www.computerwoche.de/ security-expertenrat.

Sicherheitssiegel für quelloffene Applikationen

Erklärtes Ziel des JOR-Projekts ist es, die Entwicklung von Open-Source-Software zu beschleunigen und Anwendern quelloffener Applikationen eine Art Sicherheitssiegel zur Verfügung zu stellen. Angesichts der zunehmenden Fokussierung auf sichere Softwareentwicklungsverfahren benötige auch die Java-Community fortschrittlichere Werkzeuge zum Aufspüren von Bugs, kommentiert Barmak Meftah, Vice President Product and Services bei Fortify, das neue Angebot.

Auf diese Weise könnten Open-Source-Entwickler nun die Fortify-Software "Source Code Analysis" nutzen, die auch kommerzielle Anbieter wie Oracle und Adobe Systems einsetzen. Allerdings ist die kostenlose JOR-Analyse nicht ganz so detailliert wie die Quellcode-Überprüfung durch das kommerzielle Produkt des Anbieters: Während Letzteres laut Meftah rund 120 Kategorien von Softwareproblemen aufspüren kann, beschränkt sich die JOR-Analyse auf die 40 gefährlichsten und für die Entwickler eingängigsten Schwachstellenbereiche.

In den vergangenen Wochen will JOR bereits eine ganze Reihe von Open-Source-Projekten gescannt und dabei Hun- derte von Bugs in Applikationen wie Apache Tomcat oder dem E-Mail-Server Zimbra gefunden haben. (kf)