:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Fehlerdichte und Compliance-Standards in Applikationen Kommerzielle Software ist besser als ihr Ruf
Der „Coverity Scan Report“ nimmt alljährlich kommerzielle und Open-Source-Projekte hinsichtlich Fehlerdichte und Einhaltung von Compliance-Standards unter die Lupe. Überraschenderweise hat die kommerzielle Software 2014 C/C++-, Java- oder C#-Open-Source-Software bei der Erfüllung von Compliance-Standards überholt und konnte auch bei der Code-Qualität aufholen.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/5e/4d/5e4d4b19a3c54/moxa-logo.jpg "Moxa_Logo.jpg (Moxa Europe GmbH)"){kind=logo}
Der aktuelle von Synopsys veröffentlichte Coverity Scan Open Source Report 2014 wartet mit einer Besonderheit auf: Beim Vergleich zwischen kommerzieller Software und Open-Source-Projekten zeigte sich, dass kommerzielle Software Compliance-Standards wie dem Top 10 des „Open Web Application Security Projects“ (OWASP) und dem „25 Common Weakness Enumeration“ (CWE) besser entspricht als Open Source. Dies ist insofern überraschend, als Open-Source-Software seit 2013 eine geringere Fehlerdichte als kommerzielle Software aufweist und diesen – wenn auch abnehmenden – Vorsprung 2014 verteidigt hat.
Für den aktuellen Coverity Scan Open Source Report wurden circa 10 Milliarden Codezeilen mit Hilfe des „Coverity Scan Service“ und der „Synopsys Coverity Software Testing Platform“ analysiert. Dies ist die größte Menge Codezeilen, die jemals für den Scan Report untersucht wurde.
Die Analyse umfasst mehr als 2.500 C- und C++ Open-Source-Projekte, sowie eine Auswahl kommerzieller Projekte. Hinzu kommen Ergebnisse von beliebten Open-Source-Projekten in Java und C#, die seit März 2013 Bestandteil des Reports sind.
Wichtige Ergebnisse des Reports
- Die Fehlerdichte (Anzahl der Fehler pro 1.000 Codezeilen) von Open Source und kommerziellen Code hat sich seit 2013 verbessert: Vergleicht man die Gesamtfehlerdichte von 2013 und 2014, fällt bei Open-Source-Projekten eine Verbesserung von 0,66 auf 0,61 Fehler je 1.000 Codezeilen auf. Kommerzielle Projekte verbesserten sich von 0,77 auf 0,76 Fehler je 1.000 Codezeilen. Eine Fehlerdichte unter 1,0 gilt als Industriestandard für eine hohe Qualität.
- Coverity Scan konnte OpenSSL bei der Überprüfung nach Heartbleed helfen: Laut Tim Hudson, Mitgründer von OpenSSL, half der Service dabei, neue Fehler aufzudecken und potentielle Schwachstellen ausfindig zu machen, die Heartbleed ähneln. Seit Heartbleed hat OpenSSL 302 Fehler behoben, die Coverity Scan gefunden hat. Die Fehlerdichte von OpenSSL liegt aktuell bei 0,21 Fehlern je 1.000 Codezeilen.
- Linux bleibt Maßstab bei der statistischen Analyse der Fehlerdichte: Linux ist seit 2006 Bestandteil des Coverity Scans und entspricht weiterhin dem eigenen Vorsatz hinsichtlich der Qualität, die weiterhin im Mittelpunkt steht. 2014 unterstützte Linux Coverity Scan dabei, über 500 kritische Fehler ausfindig zu machen und zu beseitigen, beispielsweise Ressourcenlecks, Speicherabweichungen und nicht initialisierte Variablen.
Zack Samocha, Marketingdirektor für die Software Integrity Group bei Synopsys: „Insgesamt hat die Softwarequalität und -sicherheit zugenommen. Allerdings sind weder Open Source noch kommerzielle Standards vollständig und eindeutig in der Lage, alle Gefährdungen zu verhindern.“
Das liege zum einen daran, dass Softwareprojekte schneller als je zuvor auf den Markt gebracht würden. Deshalb müssten Entwickler ein Gleichgewicht zwischen Sicherheit und Geschwindigkeit finden. „Wenn mehr dieser Projekte auf Lösungen wie Coverity Scan setzen, erwarten wir für 2015 eine fortlaufende Verbesserung bei der Sicherheit von Open Source und kommerziellen Code“, so der Marketing-Chef.
Der Coverity Scan Open Source Report sei mittlerweile ein etablierter Standard, um die Qualität von Open-Source-Code zu bewerten. Seit Beginn des Coverity Scan Projekts vor neun Jahren wurden bereits über 5.100 Open-Source-Projekte getestet, einschließlich C/C++-Projekte wie Linux, FreeBSD, LibreOffice, Python, PostgreSQL, Firefox und NetBSD und Java-Projekte, etwa Apache Hadoop, HBase, Tomcat, Cloudstack und Cassandra.
Insgesamt half der Report seit 2006 dabei, mehr als 240.000 Software-Fehler zu identifizieren und zu beheben. Allein 2014 wurden 152.000 Fehler behoben – das sind mehr Fehler, als in den vorherigen sieben Jahren zusammen.
Artikelfiles und Artikellinks
(ID:43539606)
:quality(80)/p7i.vogel.de/wcms/b1/e7/b1e72a6b562af4677033eade53eeb197/0104312887.jpeg "Heartbleed ist eine schwerwiegende Sicherheitslücke in der Open-Source-Bibliothek OpenSSL. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ba/99/ba9985384854ba8bb1ac924a264cd58b/0107472718.jpeg "Die Code Sight Standard Edition für IntelliJ unterstützt derzeit sowohl IntelliJ IDEA als auch WebStorm. (Bild: Synopsys)")