Trotz des Potentials dieser Code-Analyse-Tools im Hinblick auf die Lösung anhaltender Probleme ist nicht jeder davon überzeugt, dass diese Technologie schon ganz ausgereift ist.
Dave Aitel, oberster Sicherheitsfachmann und Gründer des Herstellers von Sicherheits-Software Immunity, ist der Meinung, dass die derzeit angebotenen Programme der Aufgabe noch nicht gewachsen seinen. Der Grund: Viele Code-Bestandteile werden von den Tools fälschlicherweise als Fehler markiert. Solche Fehlalarme (sog. False Positives) könnten die Entwickler auf Irrwege führen und so deren Produktivität mindern, so Aitel.
„Wenn so ein Tool 500 Bugs findet, muss man alle diese 500 Bugs durchgehen und reparieren. Jeder Fehlalarm schmälert dabei die Rentabilität“, erklärte Aitel. „In drei Generationen könnte ein solches Verfahren vielleicht für umfangreichen Code rentabel sein.“
Aber auch Aitel räumt ein, dass Bedarf für solche Tools besteht.
„Wenn man sich den Großteil des Software-Codes in Unternehmen anschaut, ist er von einfachen Bugs übersät“, meinte Aitel. „Viele der wirklich großen Hersteller testen überhaupt nicht. Deshalb gibt es einen großen Markt für Tools, mit denen man schnell 30 Millionen Codezeilen durchkämmen und diese offensichtlichen Fehler ausmerzen kann.“
Dawson Engler, ein weiterer Verfechter von Source-Code-Analyse-Tools, ist dagegen überzeugt, dass die Tools genügend Fehler entdecken, um auch heute schon lukrativ zu sein.
„Ich denke, wir werden beim Aufspüren von Sicherheitslücken immer besser“, sagte Engler, Informatikprofessor an der Stanford University, der zu diesem Thema schon viel veröffentlicht hat. Engler hat mit einigen Absolventen Coverity gegründet, ein Unternehmen, das Tools zur Source-Code-Analyse vertreibt.
Mitbewerber Ounce Labs beabsichtigt, den Druck auf die Software-Entwickler zu erhöhen, indem deren Kunden mehr Rechte eingeräumt werden.
Das Unternehmen hofft mit seinem Code-Analyse-Produkt im Juni auf den Markt zu kommen und gab am Dienstag bekannt, dass es einen Standardtext für eine Vertragsergänzung entworfen hat, der Softwarehersteller in die Pflicht nehmen soll, für die Sicherheit ihrer Software geradezustehen. Wenn Unternehmen künftig einen solchen Passus in ihre Verträge aufnehmen, werden die Entwickler ihre Software vorab gründlicher auf Fehler hin untersuchen, wie CEO Jack Danahy meint. Was den Herstellern solcher Analyse-Tools automatisch mehr Kunden beschert.
„Es wird so sein, dass man die Software nicht abnehmen muss, wenn nicht garantiert wird, dass sie auch sicher ist“, sagte Danahy. „Sicherheit wird nun zu einer Voraussetzung.“
Neueste Kommentare
Noch keine Kommentare zu Sorgen Analyse-Tools für wurmresistente Software?
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.