Sorgen Analyse-Tools für wurmresistente Software?

Trotz des Potentials dieser Code-Analyse-Tools im Hinblick auf die Lösung anhaltender Probleme ist nicht jeder davon überzeugt, dass diese Technologie schon ganz ausgereift ist.

Dave Aitel, oberster Sicherheitsfachmann und Gründer des Herstellers von Sicherheits-Software Immunity, ist der Meinung, dass die derzeit angebotenen Programme der Aufgabe noch nicht gewachsen seinen. Der Grund: Viele Code-Bestandteile werden von den Tools fälschlicherweise als Fehler markiert. Solche Fehlalarme (sog. False Positives) könnten die Entwickler auf Irrwege führen und so deren Produktivität mindern, so Aitel.

„Wenn so ein Tool 500 Bugs findet, muss man alle diese 500 Bugs durchgehen und reparieren. Jeder Fehlalarm schmälert dabei die Rentabilität“, erklärte Aitel. „In drei Generationen könnte ein solches Verfahren vielleicht für umfangreichen Code rentabel sein.“

Aber auch Aitel räumt ein, dass Bedarf für solche Tools besteht.

„Wenn man sich den Großteil des Software-Codes in Unternehmen anschaut, ist er von einfachen Bugs übersät“, meinte Aitel. „Viele der wirklich großen Hersteller testen überhaupt nicht. Deshalb gibt es einen großen Markt für Tools, mit denen man schnell 30 Millionen Codezeilen durchkämmen und diese offensichtlichen Fehler ausmerzen kann.“

Dawson Engler, ein weiterer Verfechter von Source-Code-Analyse-Tools, ist dagegen überzeugt, dass die Tools genügend Fehler entdecken, um auch heute schon lukrativ zu sein.

„Ich denke, wir werden beim Aufspüren von Sicherheitslücken immer besser“, sagte Engler, Informatikprofessor an der Stanford University, der zu diesem Thema schon viel veröffentlicht hat. Engler hat mit einigen Absolventen Coverity gegründet, ein Unternehmen, das Tools zur Source-Code-Analyse vertreibt.

Mitbewerber Ounce Labs beabsichtigt, den Druck auf die Software-Entwickler zu erhöhen, indem deren Kunden mehr Rechte eingeräumt werden.

Das Unternehmen hofft mit seinem Code-Analyse-Produkt im Juni auf den Markt zu kommen und gab am Dienstag bekannt, dass es einen Standardtext für eine Vertragsergänzung entworfen hat, der Softwarehersteller in die Pflicht nehmen soll, für die Sicherheit ihrer Software geradezustehen. Wenn Unternehmen künftig einen solchen Passus in ihre Verträge aufnehmen, werden die Entwickler ihre Software vorab gründlicher auf Fehler hin untersuchen, wie CEO Jack Danahy meint. Was den Herstellern solcher Analyse-Tools automatisch mehr Kunden beschert.

„Es wird so sein, dass man die Software nicht abnehmen muss, wenn nicht garantiert wird, dass sie auch sicher ist“, sagte Danahy. „Sicherheit wird nun zu einer Voraussetzung.“

Page: 1 2 3 4

ZDNet.de Redaktion

Recent Posts

Microsoft stellt autonome KI-Agenten für Dynamics 365 vor

Sie sollen Unternehmen in Bereichen wie Vertrieb, Kundenservice und Finanzwesen unterstützt. Außerdem lassen sich künftig…

1 Woche ago

Smartphonemarkt: Absatzzahlen steigen 5 Prozent im dritten Quartal

Laut Canalys setzt in Nordamerika, China und Europa ein Erneuerungszyklus ein. Er beschert Apple das…

1 Woche ago

Infostealer Formbook nimmt Nutzer in Deutschland ins Visier

Die Malware landet mit einem Anteil von 21 Prozent an allen Infektionen im September auf…

2 Wochen ago

Ausgenutzte Schwachstellen: Anteil der Zero-Day-Lücken steigt

Im vergangenen Jahr waren 70,3 Prozent aller Sicherheitslücken im Visier von Hackern ohne verfügbaren Patch.…

2 Wochen ago

Trotz wachsender Angriffszahlen: Deutsche unterschätzen Cyberrisiko

Das Risikoempfinden der Deutschen sinkt in drei Jahren um 12 Prozentpunkte. Außerdem ist die Wissenskompetenz…

2 Wochen ago

Windows Server: Microsoft kündigt Support-Ende für VPN-Protokolle PPTP und L2TP an

Beide Protokolle gelten ab sofort als veraltet und werden nicht mehr weiterentwickelt. Der Support für…

2 Wochen ago