Sicherheitsmanagement und Schwachstellenprüfung im laufenden Entwicklungsprozess

Neuer "Web Source Code Analyzer" als Appliance-Lösung mit webbasierter Oberfläche

(09.05.08) - art of defence stellte ihren neuen "Web Source Code Analyzer" vor: "hypersource" prüft Quellcodes von Web-Anwendungen bereits im laufenden Entwicklungsprozess. Dabei unterstützt der Web Source Code Analyzer zum einen Entwickler durch die übersichtliche Anzeige der Fehler direkt im Code bei der Beseitigung von Schwachstellen. Zum anderen stellt hypersource IT-Managern oder Teamleitern umfangreiche Analysewerkzeuge zur Verfügung, die den Sicherheits-status von Web-Anwendungen anzeigen. Darüber hinaus eignet sich hypersource als Werkzeug bei der Qualitätssicherung, um Web-Applikationen im Rahmen eines bestehenden Abnahmeprozesses automatisiert auf mögliche sicherheitskritische Schwachstellen zu überprüfen.

Der Web Source Code Analyzer ist laut Herstellerangaben das erste automatisierte statische Quellcode-Analyse-Tool mit webbasierter Oberfläche. Die Appliance wird in die bestehende Infrastruktur eingegliedert, die Nutzer greifen über ihren Browser auf hypersource zu. Dadurch bleibt der Einrichtungsaufwand im Unternehmen gering. Zusätzlich können Entwickler eine hypersource-Workbench in ihre Entwicklungsumgebung integrieren, die sie bei der Behebung von gefundenen Schwachstellen unterstützt. Durch die Kombination verschiedener Dataflow-Verfahren liefert der Web Source Code Analyzer weniger sogenannte "false positives" als vergleichbare Tools.

Bei der Analyse verfolgt hypersource Abhängigkeiten zwischen einzelnen Variablen im Code. So identifiziert das Programm zum einen die Wurzeln von Schwachstellen und zeigt zum anderen weitere Folgefehler auf. Zudem prüft der Web Source Code Analyzer Schweregrad, Tiefe und Umfang der gefundenen Fehler und stellt den Sicherheitszustand von Web-Anwendungen grafisch dar, Projektleiter können den Sicherheitsstatus einzelner Web-Applikationen jederzeit nachvollziehen. In den Reports dokumentiert hypersource außerdem, welche Schwachstellen beseitigt wurden, und sichert die Qualität im Entwicklungsprozess.

Mit hypersource können IT-Entscheider komplette Projekte und Teams mit rollenspezifischen Statusberichten managen und sehr große Mengen von Code analysieren. Für Unternehmen mit eigener Entwicklungsabteilung ist hypersource eine zeitsparende und damit kostengünstige Alternative zur heute üblichen manuellen Überprüfung der Web-Applikationen auf Sicherheitslücken durch interne oder externe Tester. Denn durch den routinemäßigen Einsatz von hypersource bereits während der Applikationsentwicklung werden Schwachstellen frühzeitig entdeckt und rasch und kostengünstig beseitigt. Aber auch Unternehmen ohne eigene Entwicklungsabteilung profitieren vom Einsatz des Web Source Code Analyzer: Zugelieferter Code, beispielsweise bei Outsourcing-Projekten, oder verwendete Open-Source-Software muss nicht mehr kostenintensiv manuell überprüft werden, externe Penetration-Tests sind so seltener notwendig oder können ganz entfallen. (art of defence: ra)