SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

SicherheitsschildCoverity, ein US-amerikanischer Anbieter von Testsoftware, hat für seinen aktuellen Scan Security Spotlight Report die Sicherheitslücken von Open Source Software untersucht. 

Durch die Erweiterung des Coverity Scan Service um den Coverity Security Advisor können Software-Entwickler damit nun auch die zehn größten Risiken für Webanwendungen ermitteln, die auf der Top 10 Liste des Open Web Application Security Project (OWASP) stehen. Seit kurzem umfasst der Service auch Testfunktionen für Open-Source-Projekte auf Basis von C#.

Sicherheitslücken in Open-Source-Code wie Shellshock, OpenSSL Heartbleed und GoToFail zeigen, dass Organisationen verstärkt auf die Qualität und Sicherheit ihres Programm-Codes achten sollten. Der neue Coverity Scan Security Spotlight Report zeigt mehrere Mängel und Sicherheitslücken von Open-Source-Code auf und belegt, dass der Coverity Scan Service die GoToFail-Lücke erkannt hätte.

Mit dem Coverity Scan Service ermöglicht Coverity seit 2006 den Entwicklern von Open Source Software, kritische Sicherheitslücken wie Buffer Overflows, Integer Overflows oder String. Format-Fehler in C/C++ Code zu finden und zu beheben. Ab sofort können damit jetzt auch Java-Entwickler Sicherheitslücken in ihrem Software Code ermitteln und schließen, darunter auch die größten Risiken von Webanwendungen, die auf der OWASP Top Ten Liste stehen.

668 OWASP Top 10-Sicherheitslücken in 37 Open Source Projekten

Die OWASP Top 10 Rangliste der zehn schwerwiegendsten Sicherheits-Schwachstellen von Webanwendungen genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert. Bereits in der kurzen Zeit seit Erweiterung um die neue Funktion konnte der Coverity Scan Service in 37 Open-Source-Projekten insgesamt 668 OWASP Schwachstellen in mit Java programmierten Open-Source-Webanwendungen finden. Dazu gehören Projekte aus den Bereichen Big Data, Netzwerk-Management oder Blog-Server. Hier eine Übersicht der gefundenen OWASP Top 10 Schwachstellen: 

RangfolgeSchwachstelleAnzahl der entdeckten Lücken
1Injection135
2Fehler bei Authentifizierung und Session Management43
3Cross-Site Scripting (XSS)139
4Unsichere Direct Object References210
5Fehlerhafte Sicherheits-Konfiguration10
6Zugriff auf sensible Daten8
7Fehlende Function Level Access Control4
8Cross-Site Request Forgery (CSRF)139
9Einsatz von Komponenten mit bekannten Schwachstellenk.A.
10Ungeprüfte Redirects und Forwards0

 

„Der Weg zur Qualität und Sicherheit von Anwendungen beginnt bei der Entwicklung“, sagte Zack Samocha, Senior Director Products bei Coverity. „Die drei jüngsten kritischen Sicherheitsvorfälle Shellshock, OpenSSL Heartbleed und GoToFail bei Open-Source-Code zeigen, dass Open-Source-Entwickler ihren Code von Anfang an auch auf Sicherheit ausrichten sollen. Zudem sollten sie Experten zu Rate ziehen, die ihnen Schwachstellen im Code und potenzielle Angriffsvektoren erläutern. Auch Best Practices bei der sicheren Entwicklung von proprietären Anwendungen wie die statische Analyse oder regelmäßige Sicherheitsprüfungen lassen sich auf die Open-Source-Welt übertragen.“

Der Coverity Scan Service hat in den letzten acht Jahren mehrere Hundert Millionen Zeilen an Code analysiert – von mehr als 1.500 Open Source Projekten, darunter C/C++ Projekte wie NetBSD, FreeBSD, LibreOffice und Linux, und Java Projekte wie Apache Hadoop, HBase und Cassandra. Entwickler konnten mit Hilfe des Scan Service seit 2006 mehr als 94.000 Fehler finden und reparieren. Alleine 2013 wurden knapp 50.000 Fehler behoben – die größte Zahl, die je in einem Jahr von Scan-Nutzern behoben wurde. Mehr als 11.000 der Fehler wurden von den vier großen Projekten des Scan Service repariert: NetBSD, FreeBSD, LibreOffice und Linux.

Zum Download des Coverity Scan Security Spotlight.

www.coverity.com

GRID LIST
KI

Deutsche geben Künstlicher Intelligenz große Chancen

Selbstfahrende Autos, genauere medizinische Diagnosen oder Unterstützung bei der…
Roboter vor Tafel

CIOs liefern echten Mehrwert mit Machine Learning

ServiceNow veröffentlicht eine neue Studie, bei der weltweit 500 Chief Information…
Fragezeichen

Kunden in der digitalen Welt bleiben vielen Unternehmen fremd

Praktisch alle Unternehmen versuchen, online ihre Kunden zu erreichen – aber jedes dritte…
Hacker

Bürger sehen wachsende Bedrohung durch Cyberkriminelle

Der flächendeckende Angriff der Erpressersoftware WannaCry oder regelmäßige Berichte über…
Mobile Devices

BYOD: Zugriff oft nur mittels Kennwort geschützt

Wie eine aktuelle Umfrage von Bitglass zeigte, setzt noch ein Viertel der Unternehmen auf…
Tb W190 H80 Crop Int 7ceb45dfeb572cea64bcd3de8f0db39e

Was sind Ihre Daten wert?

Die europäischen Verbraucher haben den Eindruck, mehr Macht über die Unternehmen zu…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet