Suchen

Statische Quellcodeanalyse schafft stabileres Terrain Applikationssicherheit beginnt schon bei der Softwareentwicklung

| Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Bei der sicheren Softwareentwicklung liegt die größte Schwachstelle oft darin, dass selbst die Entwickler nicht wissen, wie man sicher programmiert. Die Zahl spezialisierter Dienstleister, die dieses Problem mittels statischer Quellcodeanalyse bekämpfen wollen, nimmt zu. Jedoch kommen Unternehmen nicht darum herum, die Anforderungen an die Prozesse und das Softwaredesign permanent im Auge zu behalten und klar zu definieren.

Firmen zum Thema

Um die Applikations-Sicherheit zu erhöhen, müssen Entwickler schon beim Programmieren den Aspekt der Sicherheit einkalkulieren.
Um die Applikations-Sicherheit zu erhöhen, müssen Entwickler schon beim Programmieren den Aspekt der Sicherheit einkalkulieren.
( Archiv: Vogel Business Media )

IT-Spezialisten sehen bei der sicheren Softwareentwicklung die größte Schwachstelle in der Aufklärung und Schulung der Entwicklungsunternehmen. Tatsächlich wissen die Entwickler nicht ausreichend Bescheid darüber, wie man auf sichere Weise entwickelt. Diese große Schwäche müssen Unternehmen überwinden, wenn sie sicherere Software entwickeln wollen.

Schulungen alleine reichen dazu bekanntlich kaum aus, denn die Entwickler müssten ihr Wissen dann auch auf positive Weise einbringen. Oftmals erfordert das Design von Software, das auf höhere Sicherheit abzielt, jedoch erheblich mehr Zeit, ebenso der Aufwand, der nochmals in die Implementierung fließt. Die oftmals zu beobachtende Detailverliebtheit von Entwicklern stellt zudem eine weitere Herausforderung dar.

Welche organisatorischen und technischen Herausforderungen einem „sicheren Software-Lebenszyklus“ entgegen stehen, das umreißt Ben Chelf, Unternehmensgründer und CTO beim amerikanischen Spezialisten Coverity Inc: „Eines der größten Hemmnisse ist die fehlende Vorstellung davon, welcher Schritt schon früher im Softwareentwicklungsprozess erfolgen kann.“ Dazu gehöre auch, was beim Testen der Software im organisatorischen Bereich zu tun sei, und zwar nachdem das Design und die Architektur des Codes feststehe und dieser geschrieben worden sei.

Spezialisten wie Coverity, Fortify Software oder Klocwork werben nun mit einem sicheren Software-Lebenszyklus, der schon vor der Testphase ansetzt, um entsprechende Fehler frühzeitig auszumerzen. Während sich beispielsweise durch wiederholtes Testen eines Programms (Fuzzing) in manchen Fällen etwas mehr Qualität herausholen lässt, funktioniert das im Bereich der Sicherheit nicht ohne weiteres.

Seite 2: Baustein Sicherheit frühzeitig einplanen

Artikelfiles und Artikellinks

Link: Coverity

Link: Fortify Software

Link: Klocwork

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de (ID: 2012283)