Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

09.03.2007

Report: Java ist sicher, Beispielcode nicht

Nach einem Bericht von Fortify Software ist der mit Java-Packages gelieferte Beispielcode mit Vorsicht zu genießen.

Ende 2006 haben Fortify Software und das auf Qualitätschecks spezialisierte Projekt "Findbugs" einen kostenlosen Scan-Service an den Start geschickt, der quelloffene Java-Applikationen auf Sicherheitslücken untersucht. Ziel der auf den Namen "Java Open Review" (JOR) getauften Initiative ist es, Open-Source-Projekten zu ermöglichen, ihren Java-Quellcode auf Lecks und Bugs überprüfen zu lassen.

Ein erster Bericht (www.fortifysoftware.com) zum JOR-Projekt bestätigt die verbreitete These, dass Java anderen Programmiersprachen wie C und C++ in Sachen Sicherheit überlegen ist. "Java ist eine gute Sprache, um sichere Software zu programmieren", kommentiert Brian Chess, einer der Autoren und leitender Forscher bei Fortify, die Ergebnisse des Reports. Die Analyse habe ergeben, dass die am häufigsten genutzten Open-Source-Java-Projekte vergleichsweise wenig Fehlerquellen aufwiesen. Für den Report wurden viel verwendete Java-Packages wie "Spring", "Struts", "Hibernate" und "Tomcat" analysiert. Dabei handelt es sich um Bausteine, die Programmierer zur Entwicklung eigener, insbesondere Web-basierender Applikationen nutzen.

Trotz der positiven Analyseergebnisse warnt Fortify davor, die Open-Source-Pakete als "absolut sicher" einzustufen. Ein Problem sei der mit den Packages gelieferte Beispielcode, der oft weitaus mehr Sicherheitslecks aufweise. Da dieser häufig ohne weitere Überprüfung eingesetzt werde, bestehe die Gefahr, dass Entwickler bei der Open-Source-Nutzung Sicherheitslöcher erzeugen. Den Experten zufolge schenken Programmierer bei der Entwicklung ihrer Frameworks dem Beispielcode häufig zu wenig Aufmerksamkeit. Die Anwender der Frameworks aber nutzten diese Samples üblicherweise als Basis für ihre eigenen Applikationen.

Zahlreiche XSS-Lücken

In den analysierten Komponenten wurden am häufigsten Cross-Site-Scripting-Lücken (XSS) entdeckt. Diese ermöglichen es Angreifern, beliebige Java-Skripts im Browser des Anwenders auszuführen, um dessen persönliche Daten abzugreifen, Sicherheitsabfragen zu umgehen oder andere Computer im Opfernetz zu attackieren. Dem Bericht zufolge enthalten geprüfte Packages mitunter aber auch ungeschützte Schnittstellen, die ebenfalls zur Codierung von Schwachstellen führen können.

Nach Analysen des Cylab Sustainable Computing Consortium der Carnergie Mellon University weist gängige Software im Entwicklungsprozess zwischen 20 und 30 Sicherheits- und Qualitätsmängel pro tausend Codezeilen auf. Demgegenüber hat JOR bei den untersuchten Open-Source-Projekten eine durchschnittliche Fehlerrate von 0,07 festgestellt. Die "Open Source Vulnerability Database" schätzt den Schwachstellenanstieg zwischen 2005 und 2006 auf 20 Prozent. Entsprechend wichtig sei es, den Code möglichst frühzeigtig abzusichern, mahnen die Autoren des Reports. (kf)