Coverity wendet Statische Analyse auf WebDev an

Coverity, ein Unternehmen, das Software-Entwicklungstools für Sicherheitsexperten anbietet, erweitert sein Know-how um die Welt der Webanwendungsentwicklung.

Das Unternehmen entwickelt ein statisches Analysetool, das Enterprise Java (JEE) -Webanwendungen analysieren kann. Es wird eines der ersten Tools sein, das diese Fähigkeit bietet. Das Unternehmen plant eine endgültige Version des Produkts, jetzt Coverity Development Testing für Webanwendungssicherheit genannt, im September, bietet aber jetzt Vorschauen als Teil eines frühen Zugriffsprogramms.

"Statische Analysewerkzeuge der ersten Generation in der Webanwendung Space war nicht in der Lage, Sicherheitsmängel umsetzbar zu machen. [Das Beheben der Fehler] wurde zu Sicherheitsteams verbannt, was sehr ineffizient ist ", sagte Andy Chou, Mitbegründer und Chief Technology Officer von Coverity. "Das ultimative Ziel ist es, Entwickler in die Lage zu versetzen, Defekte selbst zu beheben."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Statische Analyse untersucht einen Programmcode auf Fehler, die dazu führen können Software stürzt ab oder nutzt Schwachstellen aus. Coverity bietet seit langem Test-Tools für kompilierte C-, C ++ -, C # - und Java-Programme an, obwohl dies der erste Vorstoß des Unternehmens ist, die Technologie auf Web-Anwendungen anzuwenden.

Durch Anwendung einer statischen Analyse auf eine Java-Web-Anwendung kann ein Entwicklungsteam einen Möglicher SQL-Injection-Angriff - wo bösartige Befehle in einen Datenbankaufruf eingebettet sind - oder eine Cross-Side-Scripting-Schwachstelle, die es einem Angreifer ermöglichen würde, versteckten Code in einer Kopie einer Webseite zu verstecken, sagte Chou.

Coveritys statischer Code Analyzer wird eines der bisher schwierigsten Probleme bei der Analyse von Webanwendungen behandeln, nämlich den Umgang mit Frameworks. Frameworks sind Code-Bibliotheken, aus denen Entwickler häufig borgen, um gemeinsame Aufgaben in ihren Programmen auszuführen. Für die statische Analyse können Frameworks jedoch problematisch sein, da der untersuchte Code lediglich auf eine Framework-Funktion verweist und somit nicht das vollständige Bild davon liefert, welche Aktionen bei der Ausführung des Programms stattfinden. Der Ansatz von Coverity besteht darin, das Tool so zu gestalten, dass es auch die vollständigen Rahmenaufrufe untersucht. Die erste Version der Software wird die beiden populärsten JEE-Frameworks Hibernate und Spring unterstützen.

Die Software wird auch das enthalten, was die Firma einen White-Box-Fuzzer nennt, um Datenbereinigungsroutinen zu überprüfen. Datenentkeimer werden häufig verwendet, um auf schädliche oder anderweitig schädliche Benutzereingaben zu prüfen. Datendesinfektionsmittel könnten jedoch unvollständig oder falsch konfiguriert sein; Der Fuzzer prüft auf Schwachstellen im Sanitizer.

Zusätzlich zur Code-Prüfung und dem White-Box-Fuzzer gibt die Coverity-Software den Entwicklern auch konkrete Tipps, wie sie die gefundenen Probleme beheben können. Die Software kann als Webserver, auf dem Desktop oder in einer IDE (integrierte Entwicklerumgebung) ausgeführt werden.

Während sich diese aktuelle Ausgabe nur auf JEE konzentriert, kann Coverity die Software um weitere weit verbreitete Webtechnologien erweitern Die Zukunft, einschließlich PHP, JavaScript oder Ruby on Rails, sagte Chou.

Joab Jackson berichtet über Unternehmenssoftware und allgemeine Technologie, die aktuelle Nachrichten für den IDG News Service enthält. Folge Joab auf Twitter unter @Joab_Jackson. Joabs E-Mail-Adresse ist [email protected]