Coverity bietet ab September neue Technik zur statische Analyse für Web-Anwendungen

Marja-Liisa Jöckel

Coverity, Experte auf dem Gebiet der Softwareprüfung, hat in Zusammenarbeit mit seiner eigenen Forschungsabteilung und dem Coverity Security Research Laboratory eine neue Technik zur Code-Analyse vorgestellt. Die Kombination aus statischer Quelltextanalyse und verschiedenen Patenten zur Erkennung von Schwachstellen ermöglicht Entwicklern eine bessere Hilfestellung und höhere Genauigkeit beim Auffinden von Fehlern im Quelltext.

Coverity-Mitbegründer Andy Chou bestätigt gegenüber Jaxenter, dass Coverity Entwickler dazu befähigt, Mängel im Entwicklungsprozess frühzeitig zu erkennen, noch bevor das Security Audit Team zum Einsatz kommt.

Während von Entwicklern zunehmend erwartet wird, dass sie sich über Nacht zu absoluten Sicherheitsexperten entwickeln, gibt das statische Analysetool für Enterprise-Web-Anwendungen Entwicklern ein Werkzeug an die Hand, Sicherheitsmängel bereits während der Entwicklung zu erkennen und zu beheben. Der Vorteil der neu entwickelten Technologie ist, dass Entwickler für Mängel sensibilisiert werden und bis dato kein vergleichbares Tool existiert.

Um Entwickler zum Beheben von Sicherheitsproblemen zu motivieren, braucht es mehr als die simple Integration von statischer Analyse in eine Entwicklungsumgebung. Entwickler verlangen nach Belegen, dass die gefundenen Probleme existieren und sie müssen verstehen, wie sie diese Probleme in ihrem Quelltext beheben können,

so Andy Chou.

Daher hat Coverity die statische Quelltextanalyse um einen Frameworkanalyzer erweitert, der falsch-positive Treffer vermindern soll. Der hinzugefügte White-Box-Fuzzer prüft außerdem automatisch die verwendeten Routinen und den Kontext der Verwendung, um nicht-vertrauenswürdige Daten zu identifizieren. Ausgegeben werden nicht nur die konkreten Fehler, sondern zudem auch eine Anleitung zur effizienten Fehlerkorrektur.

Die neue Technik wird ab September 2012 über die Coverity Development Testing Suite verfügbar sein. Unternehmen können sich für ein Early Access Program registrieren und damit eine kostenlose Überprüfung des Quelltextes erhalten.

Geschrieben von
Marja-Liisa Jöckel
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.