Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

DSAG-Technologietage 2018
20.02.18 - 21.02.18
In Stuttgart

Sourcing von Application Management Services
21.02.18 - 21.02.18
In Frankfurt

Next Generation SharePoint
22.02.18 - 22.02.18
In München

SicherheitsschildCoverity, ein US-amerikanischer Anbieter von Testsoftware, hat für seinen aktuellen Scan Security Spotlight Report die Sicherheitslücken von Open Source Software untersucht. 

Durch die Erweiterung des Coverity Scan Service um den Coverity Security Advisor können Software-Entwickler damit nun auch die zehn größten Risiken für Webanwendungen ermitteln, die auf der Top 10 Liste des Open Web Application Security Project (OWASP) stehen. Seit kurzem umfasst der Service auch Testfunktionen für Open-Source-Projekte auf Basis von C#.

Sicherheitslücken in Open-Source-Code wie Shellshock, OpenSSL Heartbleed und GoToFail zeigen, dass Organisationen verstärkt auf die Qualität und Sicherheit ihres Programm-Codes achten sollten. Der neue Coverity Scan Security Spotlight Report zeigt mehrere Mängel und Sicherheitslücken von Open-Source-Code auf und belegt, dass der Coverity Scan Service die GoToFail-Lücke erkannt hätte.

Mit dem Coverity Scan Service ermöglicht Coverity seit 2006 den Entwicklern von Open Source Software, kritische Sicherheitslücken wie Buffer Overflows, Integer Overflows oder String. Format-Fehler in C/C++ Code zu finden und zu beheben. Ab sofort können damit jetzt auch Java-Entwickler Sicherheitslücken in ihrem Software Code ermitteln und schließen, darunter auch die größten Risiken von Webanwendungen, die auf der OWASP Top Ten Liste stehen.

668 OWASP Top 10-Sicherheitslücken in 37 Open Source Projekten

Die OWASP Top 10 Rangliste der zehn schwerwiegendsten Sicherheits-Schwachstellen von Webanwendungen genießt unter Sicherheitsexperten und Webentwicklern einen hohen Stellenwert. Bereits in der kurzen Zeit seit Erweiterung um die neue Funktion konnte der Coverity Scan Service in 37 Open-Source-Projekten insgesamt 668 OWASP Schwachstellen in mit Java programmierten Open-Source-Webanwendungen finden. Dazu gehören Projekte aus den Bereichen Big Data, Netzwerk-Management oder Blog-Server. Hier eine Übersicht der gefundenen OWASP Top 10 Schwachstellen: 

RangfolgeSchwachstelleAnzahl der entdeckten Lücken
1Injection135
2Fehler bei Authentifizierung und Session Management43
3Cross-Site Scripting (XSS)139
4Unsichere Direct Object References210
5Fehlerhafte Sicherheits-Konfiguration10
6Zugriff auf sensible Daten8
7Fehlende Function Level Access Control4
8Cross-Site Request Forgery (CSRF)139
9Einsatz von Komponenten mit bekannten Schwachstellenk.A.
10Ungeprüfte Redirects und Forwards0

 

„Der Weg zur Qualität und Sicherheit von Anwendungen beginnt bei der Entwicklung“, sagte Zack Samocha, Senior Director Products bei Coverity. „Die drei jüngsten kritischen Sicherheitsvorfälle Shellshock, OpenSSL Heartbleed und GoToFail bei Open-Source-Code zeigen, dass Open-Source-Entwickler ihren Code von Anfang an auch auf Sicherheit ausrichten sollen. Zudem sollten sie Experten zu Rate ziehen, die ihnen Schwachstellen im Code und potenzielle Angriffsvektoren erläutern. Auch Best Practices bei der sicheren Entwicklung von proprietären Anwendungen wie die statische Analyse oder regelmäßige Sicherheitsprüfungen lassen sich auf die Open-Source-Welt übertragen.“

Der Coverity Scan Service hat in den letzten acht Jahren mehrere Hundert Millionen Zeilen an Code analysiert – von mehr als 1.500 Open Source Projekten, darunter C/C++ Projekte wie NetBSD, FreeBSD, LibreOffice und Linux, und Java Projekte wie Apache Hadoop, HBase und Cassandra. Entwickler konnten mit Hilfe des Scan Service seit 2006 mehr als 94.000 Fehler finden und reparieren. Alleine 2013 wurden knapp 50.000 Fehler behoben – die größte Zahl, die je in einem Jahr von Scan-Nutzern behoben wurde. Mehr als 11.000 der Fehler wurden von den vier großen Projekten des Scan Service repariert: NetBSD, FreeBSD, LibreOffice und Linux.

Zum Download des Coverity Scan Security Spotlight.

www.coverity.com

GRID LIST
Tb W190 H80 Crop Int C8f3ffdc3a280c786644ccb7e47b3b08

Fast jeder Zweite bildet sich online weiter

Smartphone-Apps, Online-Vorlesungen und Webinare sind für viele eine praktische…
Tb W190 H80 Crop Int 9c242ef5a5fad7dbf328a783a1d35090

IT-Manager kapitulieren vor Passwortsicherheit

Mit 73 Prozent knapp drei Viertel der europäischen IT-Führungskräfte haben keine…
Tb W190 H80 Crop Int 24d766b81b29f67867ac92ced7156db1

Banken müssen Mehrwertdienste bieten und neue Geschäftsmodelle entwickeln

CGI (TSX: GIB.A) (NYSE: GIB) stellt die Ergebnisse der globalen Bankkundenumfrage von…
Tb W190 H80 Crop Int 8de1ae23fa36a406ebdedce198e81408

Mit diesen Tipps schützen Nutzer ihr Handy im Winter

Es ist Winter. Smartphone-Nutzer haben ihr Gerät jedoch auch bei tiefen Temperaturen fast…
Tb W190 H80 Crop Int Cd0be40bdc3132e8a43ff79e9c10dc12

Jeder Fünfte will sich gegen Cyberkriminalität versichern

Phishing-Attacken, Schadsoftware oder Kreditkartenbetrug – Cyberkriminalität kann jeden…
Tb W190 H80 Crop Int D325500e0595642e9afa32fcc4da2986

Mitarbeiter kennen IT-Sicherheitsrichtlinien nicht

Lediglich ein Zehntel (12 Prozent) der Mitarbeiter ist sich über Regeln und Richtlinien…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security