Zusammenfassung
Einfach auf Knopfdruck Sicherheitslücken finden — vorne den Source Code eingeben und hinten den detaillierten Audit-Report entnehmen. Die automatisierte statische Untersuchung von Software auf sicherheitskritische Fehler ist ein seit längerem verfolgtes Ideal. Der Beitrag gibt einen Überblick über die wichtigsten theoretischen Ansätze, existierende freie Tools und aktuell bestehende Probleme und Lösungsansätze.
Literatur
H. G. Rice: Classes of recursively enumerable sets and their decision problems. Trans. Amer. Math. Soc., 74:358–366, 1953.
Flawfinder, http://www.dwheeler.com/flawfinder
Rats, http://www.securesoftware.com/resources/download_rats.html
Splint, http://www.splint.org
Benjamin Livshits: Using Eclipse to Detect Security Errors in Web Applications. Poster Presented at Eclipsecon’ 05, March 2005.
F. Nielson, H. R. Nielson, C. Hankin: Principles of Program Analysis. 2nd Edition, Spinger, 2005
S. Chong, K. Vikram, and Andrew C. Myers. SIF: Enforcing Confidentiality and Integrity in Web Applications. USENIX Security 2007.
Benjamin Schwarz et al.: Model Checking An Entire Linux Distribution for Security Violations, http://www.cs.ucdavis.edu/:_hchen/paper/acsac05.pdf
Rob Johnson, David Wagner: Finding User/Kernel Pointer Bugs With Type Inference, http://www.cs.berkeley.edu/:_daw/papers/cquk-usenix04.ps
John Wilander, Mariam Kamkar: A Comparison of Publicly Available Tools for Static Intrusion Prevention. Nordsec 2002, November 2002
Secologic Projekt, http://www.secologic.org
Additional information
Dipl.-Inform. Martin Johns
Wissenschaftlicher Mitarbeiter, Software- und Web-Applikations-Sicherheit
Dipl.-Inform., M.Sc. Daniel Schreckling
Wissenschaftlicher Mitarbeiter, Software- und Applikations-Sicherheit in verteilten Systemen
Rights and permissions
About this article
Cite this article
Johns, M., Schreckling, D. Automatisierter Code-Audit. DuD 31, 888–893 (2007). https://doi.org/10.1007/s11623-007-0286-7
Published:
Issue Date:
DOI: https://doi.org/10.1007/s11623-007-0286-7