Pressemitteilung von Timothy Göbel

Coverity stellt brandneue Technik zur statischen Analyse für Webanwendungssicherheit vor

---

---

Ismaning, den 12. Juni 2012 - Coverity, Inc., führend auf dem Gebiet der Softwareprüfung in der Entwicklung, kündigt technische Neuigkeiten zur statischen Code-Analyse an. Entwickler können hiermit zielsicher Schwachstellen in Java-Webanwendungen beheben. Die Neuerungen sind das Resultat der Zusammenarbeit zwischen der Forschungsabteilung von Coverity und dem Coverity Security Research Laboratory. Die Neuentwicklungen basieren auf Coveritys Kernkompetenz bei Techniken der statischen Quelltextanalyse und verschiedenen Patenten zur zielgenauen und skalierbaren Technik zum Erkennen von Schwachstellen.

Coverity hat das Einsatzgebiet der statischen Analyse erweitert und gewinnt damit tiefgehende Erkenntnisse über den Quelltext und die Architektur moderner Webanwendungen. Auf diese Weise bietet Coverity Entwicklern eine höhere Genauigkeit und bessere Hilfestellung beim Auffinden von Problemen im Quelltext. Programmierer können so Sicherheitsprobleme, die später zu den am häufigsten ausgenutzten Schwachstellen wie SQL-Injections oder Cross Site Scripting führen, schnell aufspüren und beheben. Die zum Einsatz kommende Coverity-Technik wurde neu entwickelt, um Webapplikationen aus der Perspektive der Entwickler zu analysieren. Das Verfahren kann auch mit komplexen modernen Webanwendungen umgehen und stellt Entwicklern ein Werkzeug zum statischen Testen zur Seite, das die bislang übliche Generation der unvollständigen Tools nicht bieten konnte.

Zu den von Coverity entwickelten Techniken gehören:

- Die statische Quelltextanalyse wird durch einen "Frameworkanalyzer" erweitert. Er minimiert die Ungenauigkeiten, wenn Daten die "Applikationsframeworks" passieren und vermindert so falsch-positive Treffer.
- Die Integration eines "White-Box-Fuzzers" in die statische Analyse. Er überprüft automatisch die zum Bereinigen der Daten von nicht vertrauenswürdigen Daten verwendeten Routinen und dass die Routinen im passenden Kontext verwendet werden.
- Dem Entwickler werden die Fehler und eine jeweils dafür passende Anleitung zum Berichtigen aufgezeigt, um die Sicherheitsprobleme korrekt und effizient zu beseitigen.

"Um Entwickler zum Beheben von Sicherheitsproblemen zu motivieren, braucht es mehr als die simple Integration von statischer Analyse in eine Entwicklungsumgebung. Entwickler verlangen nach Belegen, dass die gefundenen Probleme existieren und sie müssen verstehen, wie sie diese Probleme in ihrem Quelltext beheben können", sagt Andy Chou, Mitgründer von Coverity und Chief Technology Officer. "Die Werkzeuge zur statischen Analyse der ersten Generation helfen Entwicklern nicht, da sie den Programmierern nicht die notwendigen glaubwürdigen Informationen liefern. Wir erleichtern den Entwicklern das Leben, indem wir dem Rätselraten rund um das Aufspüren und vor allem Beheben der Schwachstellen ein Ende bereiten."

"75 Prozent aller Sicherheitsangriffe zielen auf Anwendungen. Deshalb müssen Entwickler bei der Programmierung das Problem lösen. Wir sind unangefochtener Marktführer bei der statischen Softwareanalyse und sammeln darin seit mehr als zehn Jahren Erfahrung. Das Anwenden dieser Erfahrung auf die Sicherheit von Webanwendungen ist eine konsequente Weiterentwicklung unserer Strategie zum Überprüfen des Quelltextes während der Entwicklung. Unsere Neuentwicklungen werden die Art und Weise verändern, in der die Entwicklungs- und Sicherheitsteams zusammen arbeiten, um sich künftig gemeinsam dem Thema Sicherheit zu widmen", sagt Anthony Bettencourt, Chief Executive Officer von Coverity.

Die neue Coverity-Technik wird ab September 2012 als Teil der Coverity Development Testing-Plattform verfügbar sein. Coverity bietet einigen Unternehmen ein "Early Access Program" an, zu dem auch eine kostenfreie Sicherheitsüberprüfung des Quelltextes gehört. Die Registrierung für dieses Programm ist online möglich.

Weitere Informationen:
- Mehr über das Testen während der Entwicklung (http://www.coverity.com/products/web-applications-security.html) im Zusammenhang mit der Sicherheit von Webanwendungen
- Nehmen Sie an einem Webinar (http://softwareintegrity.coverity.com/introduction-to-java-web-app-security-6-27-reg.html) mit dem CTO von Coverity, Andy Chou, teil.
- Blog (https://communities.coverity.com/blogs/security) des Coverity Security Research Laboratory.
Firmen- & Pressekontakt