Ein Angebot von

Schwachstellenscan ohne Sourcecode

| Redakteur: Peter Schmitz

Der Codescanner VUSC wurde auf der diesjährigen Security-Messe it-sa Anfang Oktober mit großem Erfolg erstmals vorgestellt.
Der Codescanner VUSC wurde auf der diesjährigen Security-Messe it-sa Anfang Oktober mit großem Erfolg erstmals vorgestellt. (Bild: Fraunhofer SIT)

Fehler und Sicherheitslücken in Software verursachen Schäden in Milliardenhöhe und können den Ruf eines Unternehmens ruinieren. Das Fraunhofer SIT hat deshalb VUSC – den Codescanner entwickelt. VUSC – kurz für Vulnerability Scanner – hilft Unternehmen und Entwicklern, Schwachstellen in fremdem Code innerhalb von Minuten aufzuspüren.

Im Gegensatz zu herkömmlichen Analysetools benötigt VUSC nicht den Quellcode der zu untersuchenden Software. Außerdem lässt sich der Codescanner im eigenen Netzwerk betreiben, sodass sensible Informationen nicht ungewollt das Unternehmen verlassen.

Experten schätzen, dass die jährlichen Verluste durch Softwarefehler und Sicherheitslücken allein in Deutschland rund 84 Milliarden Euro betragen. Für Entwickler, Softwarehersteller und Anwender ist deshalb die Fehlerfreiheit und Sicherheit ihrer Software entscheidend.

Doch wie erkennen IT-Abteilungen, ob die neu gekaufte Softwarelösung sicher und fehlerfrei ist? Wie überprüfen Hersteller eingekauften Code von externen Entwicklern auf Fehler? Und wie weiß der Entwickler, ob seine App keine Schwachstellen enthält?

Schnelle Ergebnisse und Risikoeinschätzung

Mit dem neuen Codescanner VUSC, den Softwaresicherheitsexperten des Fraunhofer SIT entwickelt haben, lassen sich diese Fragen innerhalb von Minuten beantworten. „Die zu untersuchende Datei wird einfach per drag and drop in den Scanner geladen“, erklärt Dr. Steven Arzt, Projektleiter VUSC und Abteilungsleiter am Fraunhofer SIT. Für den Scan-Vorgang benötigt VUSC keinen Quellcode - „das ist ein Alleinstellungsmerkmal unserer Entwicklung“, sagt Steven Arzt.

VUSC findet nicht nur Fehler und Sicherheitslücken, sondern klassifiziert diese auch. So können Nutzer mit einem Blick erkennen, ob die gefundene Schwachstelle ein niedriges, mittleres oder hohes Risiko darstellt. VUSC arbeitet außerdem on premises, sodass sensible Daten jederzeit beim VUSC-Nutzer bleiben und nicht an fremde Server geschickt werden.

Dieser Beitrag stammt von unserem Partnerportal Security-Insider.de.

Codescanner findet Software-Schwachstellen ohne Quellcode

Codescanner findet Software-Schwachstellen ohne Quellcode

02.10.19 - Das Fraunhofer Institut für Sichere Informationstechnologie SIT stellt ein neues Werkzeug für automatisierte Software-Analyse vor. Der Vulnerability Scanner VUSC verspricht, Software auf Schwachstellen zu prüfen, ohne dass ihm dafür der zugrunde liegende Quellcode bereitgestellt werden muss. lesen

Statische und dynamische Codeanalyse in einem kontinuierlichen Testprozess

Statische und dynamische Codeanalyse in einem kontinuierlichen Testprozess

17.07.19 - Zunehmende Variantenvielfalt und steigende Komplexität stellen Entwickler von Embedded Software vor neue Herausforderungen. Kontinuierliche Integration gewinnt daher an Bedeutung. Durch die Kombination statischer und dynamischer Codeanalyse in einem kontinuierlichen Testprozess lässt sich effizient eine nachhaltige Qualitätssteigerung erzielen – die richtigen Analysewerkzeuge vorausgesetzt. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46267235 / Security)