Neuer on-premise Codescanner Software-Schwachstellen ohne Quellcode finden

Das Fraunhofer SIT stellt mit VUSC ein neues Werkzeug für automatisierte Software-Analyse vor, das Fehler auch ohne Bereitstellung des Software-Quellcodes findet.

Bild: Fraunhofer SIT
04.10.2019

Das Fraunhofer-Institut für Sichere Informationstechnologie SIT in Darmstadt hat den Codescanner VUSC entwickelt. Dieser benötigt nicht den Quellcode der zu untersuchenden Software. Außerdem lässt sich VUSC im eigenen Netzwerk betreiben, sodass sensible Informationen nicht ungewollt das Unternehmen verlassen.

Experten schätzen, dass die jährlichen Verluste durch Softwarefehler und Sicherheitslücken allein in Deutschland rund 84 Milliarden Euro betragen. Für Entwickler, Softwarehersteller und Anwender ist deshalb die Fehlerfreiheit und Sicherheit ihrer Software entscheidend. Doch wie erkennen IT-Abteilungen, ob die neu gekaufte Softwarelösung sicher und fehlerfrei ist? Wie überprüfen Hersteller eingekauften Code von externen Entwicklern auf Fehler? Und wie weiß der Entwickler, ob seine App keine Schwachstellen enthält?

Fehler finden und klassifizieren

Mit dem neuen Codescanner VUSC, den Softwaresicherheitsexperten des Fraunhofer SIT entwickelt haben, sollen sich diese Fragen innerhalb von Minuten beantworten lassen. „Die zu untersuchende Datei wird einfach per drag and drop in den Scanner geladen“, erklärt Dr. Steven Arzt, Projektleiter VUSC und Abteilungsleiter am Fraunhofer SIT. Für den Scan-Vorgang benötigt VUSC keinen Quellcode. „das ist ein Alleinstellungsmerkmal unserer Entwicklung“, sagt Steven Arzt.

VUSC klassifiziert die gefundenen Fehler und Sicherheitslücken auch. So können Nutzer mit einem Blick erkennen, ob die gefundene Schwachstelle ein niedriges, mittleres oder hohes Risiko darstellt. VUSC arbeitet außerdem on premises, sodass sensible Daten beim VUSC-Nutzer bleiben und nicht an fremde Server geschickt werden.

Verwandte Artikel