Sorgen Analyse-Tools für wurmresistente Software?

Als Microsoft Hilfe benötigte, um den vielen Fehlern im Betriebssystem Windows Herr zu werden, fiel die Entscheidung auf die Technologie der „statischen Source Code Checker“ und ein Unternehmen namens Intrinsa.

Intrinsas Produkt namens PREfast analysierte den von den Entwicklern geschriebenen Code und markierte potentielle Fehler. Der Softwaregigant fand das Programm so nützlich, dass er 1999 für 60 Millionen Dollar gleich die ganze Firma aufkaufte. Inzwischen versucht eine Handvoll anderer Anbieter ähnlicher Produkte die Kunden zur Nutzung ihrer Programme zur Aufdeckung möglicher Sicherheitslücken zu bewegen.

Für Microsoft sind solche Tools inzwischen zum integralen Bestandteil seiner Trustworthy Computing Initiative geworden, die Windows-Computer zuverlässiger machen soll. Der Softwarehersteller schult zwar ohnehin jährlich 20.000 Entwickler in sicherer Programmierung, doch fördern die Tools vor allem die Disziplin bei der täglichen Arbeit, so Michael Howard, der für das Sicherheitsprogramm des Unternehmens verantwortlich ist.

„Wir haben nicht dieselben Sicherheitsprobleme wie vor fünf Jahren“, sagte Howard. „Unsere Leute sind gut geschult, so dass sie diese Probleme kennen, und die Tools sind viel besser geworden. Kein Entwickler schreibt schlechten Code. Es wird von Anfang an besserer Code geschrieben.“

Eine Handvoll weiterer Unternehmen hat inzwischen mit dem Vertrieb ähnlicher Tools wie dem von Microsoft verwendeten statischen Source Code Checker begonnen. Obwohl diese Tools bislang vor allem im akademischen Bereich entwickelt wurden um Daten zu Softwarefehlern zu sammeln, halten diese Unternehmen die Programme für ausgereift genug, um auch zum kommerziellen Einsatz dienen zu können. Angesichts der Unmenge an Sicherheitslücken sind zudem immer mehr IT-Manager in den Unternehmen bereit, diese Technologie auszuprobieren.