Statische Quellcodeanalyse schafft stabileres Terrain

Applikationssicherheit beginnt schon bei der Softwareentwicklung

24.04.2008 | Autor / Redakteur: Lothar Lochmaier / Peter Schmitz

Um die Applikations-Sicherheit zu erhöhen, müssen Entwickler schon beim Programmieren den Aspekt der Sicherheit einkalkulieren.
Um die Applikations-Sicherheit zu erhöhen, müssen Entwickler schon beim Programmieren den Aspekt der Sicherheit einkalkulieren.

Bei der sicheren Softwareentwicklung liegt die größte Schwachstelle oft darin, dass selbst die Entwickler nicht wissen, wie man sicher programmiert. Die Zahl spezialisierter Dienstleister, die dieses Problem mittels statischer Quellcodeanalyse bekämpfen wollen, nimmt zu. Jedoch kommen Unternehmen nicht darum herum, die Anforderungen an die Prozesse und das Softwaredesign permanent im Auge zu behalten und klar zu definieren.

IT-Spezialisten sehen bei der sicheren Softwareentwicklung die größte Schwachstelle in der Aufklärung und Schulung der Entwicklungsunternehmen. Tatsächlich wissen die Entwickler nicht ausreichend Bescheid darüber, wie man auf sichere Weise entwickelt. Diese große Schwäche müssen Unternehmen überwinden, wenn sie sicherere Software entwickeln wollen.

Schulungen alleine reichen dazu bekanntlich kaum aus, denn die Entwickler müssten ihr Wissen dann auch auf positive Weise einbringen. Oftmals erfordert das Design von Software, das auf höhere Sicherheit abzielt, jedoch erheblich mehr Zeit, ebenso der Aufwand, der nochmals in die Implementierung fließt. Die oftmals zu beobachtende Detailverliebtheit von Entwicklern stellt zudem eine weitere Herausforderung dar.

Welche organisatorischen und technischen Herausforderungen einem „sicheren Software-Lebenszyklus“ entgegen stehen, das umreißt Ben Chelf, Unternehmensgründer und CTO beim amerikanischen Spezialisten Coverity Inc: „Eines der größten Hemmnisse ist die fehlende Vorstellung davon, welcher Schritt schon früher im Softwareentwicklungsprozess erfolgen kann.“ Dazu gehöre auch, was beim Testen der Software im organisatorischen Bereich zu tun sei, und zwar nachdem das Design und die Architektur des Codes feststehe und dieser geschrieben worden sei.

Spezialisten wie Coverity, Fortify Software oder Klocwork werben nun mit einem sicheren Software-Lebenszyklus, der schon vor der Testphase ansetzt, um entsprechende Fehler frühzeitig auszumerzen. Während sich beispielsweise durch wiederholtes Testen eines Programms (Fuzzing) in manchen Fällen etwas mehr Qualität herausholen lässt, funktioniert das im Bereich der Sicherheit nicht ohne weiteres.

Seite 2: Baustein Sicherheit frühzeitig einplanen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2012283 / Softwareentwicklung)