Neues Coverity-Release unterstützt mehr Frameworks und Programmiersprachen

Das zu Synopsys gehörende Werkzeug für statische Sicherheitstests ist zudem in den Bereichen Skalierbarkeit und Schwachstellenanalyse besser aufgestellt.

In Pocket speichern vorlesen Druckansicht
Computer mit Fehlermeldung

(Bild: dpa / Lino Mirgeler)

Lesezeit: 2 Min.
Von
  • Alexander Neumann

Synopsys hat eine neue Version der Coverity-Software für statische Anwendungssicherheitstests (Static Application Security Testing, SAST) veröffentlicht. Coverity ermöglicht es Unternehmen, ihre statischen Sicherheitstests über große Anwendungsportfolios hinweg zu skalieren. Die Neuerungen von Coverity 2018.12 werden unter drei großen Bereichen subsummiert: Skalierbarkeit, umfassende Sprach- und Framework-Unterstützung sowie eine weitergehende Schwachstellenanalyse.

Die neue Ausgabe der Software enthält jetzt eine Funktion namens "analysis without build", mit der Sicherheitsteams offenbar tausende Anwendungen schnell und einfach einbinden und analysieren können. Sie können Coverity nun auf ein Quellcode-Projekt verweisen und mit der Analyse sofort beginnen, ohne vorher einen vollständigen Build-Vorgang für jede Anwendung durchführen zu müssen. Coverity erkennt wohl automatisch Projekttypen und Abhängigkeiten eines lokalen oder auch Git-Repositorys, die normalerweise in den Build-Prozess integriert würden.

Der wachsenden Zahl an zunehmend wichtiger werdenden Programmiersprachen und Frameworks kommt Synopsys durch eine anscheinend deutlich erweiterte Sprach- und Framework-Abdeckung von Coverity nach. So werden nun TypeScript, .NET Core, Swift 4.1 und Ruby on Rails sowie mehr als 50 verschiedene Frameworks für Java, JavaScript (einschließlich Angular, React und Vue) und C# unterstützt.

Als Reaktion auf die wachsende Popularität von Frameworks enthält die neueste Coverity-Version eine offenbar deutlich überarbeitete Framework-Analyse, die es ermöglichen soll, Schwachstellen von Client-seitigen und Backend-Webservices genauer zu erkennen. Beispielsweise kann Coverity nun auch JavaScript-Framework-Templates analysieren, die ein beliebtes Mittel bei der clientseitigen Datenanbindung sind. Coverity kann das aus solchen Templates generierte HTML scannen, um zusätzliche Cross-Site-Scripting-Schwachstellen zu finden.

Weitere Informationen zum neuen Release und Coverity selbst finden sich in der Presseankündigung sowie auf der Produkt-Website. Coverity wurde im März 2014 von Synopsys übernommen. (ane)