Suchen

Forrester-Analystin Chenxi Wang über Application Security im Web 2.0 Sichere Anwendungsentwicklung – Sourcecode-Analyse kontra Bug-Suche

| Redakteur: Stephan Augsten

Firewall-Technologien und Vulnerability Scanner sind mittlerweile derart ausgereift, dass Cyber-Kriminelle sich andere Schlupflöcher ins Unternehmensnetzwerk suchen. Zwei Drittel der Attacken in 2007 haben laut Forrester Research auf Applikationsebene stattgefunden. Beim diesjährigen Security Forum des Analyseunternehmens hat sich Security-Insider.de mit Forresters Expertin Chenxi Wang über Web Application Security unterhalten.

( Archiv: Vogel Business Media )

Security-Insider: Auf welche Internet-Gefahren sollten sich Unternehmen in nächster Zeit vorbereiten?

Chenxi Wang: Das Internet macht derzeit die Trendwende zum Web 2.0 durch, und darauf stellen sich auch die Cyber-Kriminellen ein. Hacker verteilen ihren gefährlichen Code gerne über Weblinks, die sie in gefälschte Banner oder Foren- und Blog-Einträge einbinden.

Cross Site Scripting und Code Injection haben in den vergangenen Jahren stark zugenommen. Jüngst steigt aber auch die Gefahr, sich über manipulierte Webseiten zu infizieren, die eigentlich vollkommen vertrauenswürdig erscheinen. Dabei fangen Datendiebe mithilfe unsichtbarer Iframes User-Logins, Passwörter und andere sensible Informationen ab.

Unternehmen sind also dazu angehalten, Code-basierte Schwachstellen in Web-Anwendungen zu vermeiden. Immerhin gefährdet Schadcode, der in Webseiten oder entsprechende Applikationen eingebunden wird, sowohl die eigenen Daten als auch den Kunden.

Im Allgemeinen besteht die Programmierung ja aus den vier Phasen „Design, Umsetzung, Testen und Bereitstellung“. Welcher dieser Schritte bereitet Unternehmen am meisten Probleme?

Viele Unternehmen vernachlässigen auf Dauer das Testen ihrer Anwendungen während und nach der Programmierung. Wir sprechen hier also nicht vom manuellen Bug-Testing, sondern von der Code-Analyse.

Zahlreiche Unternehmen prüfen den Code ihrer Webanwendungen – wenn überhaupt – höchstens ein bis zweimal im Jahr. Da sich Anwendungen aber stetig ändern, sollten sie besser alle ein bis zwei Monate auf Sicherheitsrisiken hin getestet werden.

An dieser Stelle könnte das Unternehmen argumentieren. „Das kostet zuviel Zeit! Wir wollen möglichst schnell ein Ergebnis sehen.“ Wie würden Sie Ihren Standpunkt verteidigen?

Der Analyse-Aufwand wird gerne unverhältnismäßig bewertet – immerhin entstehen etwa 80 Prozent der Sicherheitslücken beim Codieren. Normalerweise müsste bei jeder Code-Aktualisierung geprüft werden, wie das neue Software-Modul mit anderen Komponenten und der kompletten Anwendung interagiert. Das wäre natürlich übertrieben.

Aber warum sollte man nach der Bereitstellung viel Zeit und Geld in die Bug-Suche investieren, wenn man eine Schwachstelle anhand der Code-Analyse aufdecken kann? Dieses Vorgehen ist auf Dauer deutlich günstiger, und noch dazu präziser: Oft lässt sich nämlich genau die Codezeile (Line of Code, LoC) identifizieren, die das Problem beinhaltet.

Welche Anbieter von Source Code Analysis Tools würden Sie empfehlen?

Zwei Unternehmen, die sich sehr gut auf das Aufdecken von Schwachstellen im Quellcode verstehen, sind Fortify Software und OunceLabs. Wenn ein Unternehmen mehr Wert auf generelle Fehlerfreiheit und die Einhaltung von Policies legt, sollte es sich an Coverity oder Clockwork Software Associates halten.

Bietet das Einbinden von Open-Source-Modulen in Webanwendungen diesbezüglich eher Chancen oder Risiken?

Chenxi Wang: Oft stellen Open Source Communities den Sicherheitsaspekt als einen ihrer Vorteile heraus. Doch nach wie vor ist ungeklärt, ob Open Source wirklich sicherer ist als proprietäre Lösungen.

Zahlreiche Entwickler und Tester können natürlich entsprechend viel Arbeitszeit in die Suche von Schwachstellen investieren. Aber dabei müssen sie zunächst einmal prüfen, woher welcher Code kommt – das kostet letztendlich auch wieder Zeit.

An dieser Stelle rate ich den Unternehmen, Open-Source-Code und -Module genauso gründlich zu prüfen wie die eigenen Entwicklungen.

Chenxi Wang ist Expertin für Applikationssicherheit und Web 2.0 Security bei Forrester Research. Das Interview führte Stephan Augsten.

Artikelfiles und Artikellinks

(ID:2012261)