Eclipse Foundation möchte Vulnerability Assessment Tool von SAP aufnehmen
Das Werkzeug zum Erkennen von Abhängigkeiten zu schwachstellenbehafteten Open-Source-Komponenten soll ein Eclipse-Projekt werden.
- Rainald Menge-Sonnentag
Die Eclipse Foundation hat den Proposal-Prozess für das Vulnerability Assessment Tool gestartet und die Community zu Rückmeldungen zur Aufnahme des Werkzeugs unter dem Dach der Organisation aufgerufen. Findet das Proposal die allgemeine Zustimmung, startet im Anschluss die Inkubationsphase. Das Vulnerability Assessment Tool untersucht Anwendungen auf Abhängigkeiten zu schwachstellenbehafteten Open-Source-Komponenten. Es ist bei SAP entstanden und seit Anfang 2019 als Open-Source-Projekt auf GitHub verfügbar.
Erkennen, bewerten, beheben
Das Werkzeug zielt auf den Schutz vor Sicherheitslücken, die durch Platz 9 in der OWASP Top 10 entstehen: Verwenden von Komponenten mit bekannten Verwundbarkeiten. Dabei beschränkt es sich nicht auf einen Abgleich der Abhängigkeiten zu den Daten der CVE-Datenbank (Common Vulnerabilities and Exposures) und NVD (National Vulnerability Database), sondern analysiert den Sourcecode. Allerdings greift das Werkzeug derzeit nur für Java- und Python-Code und die umfassende Codeanalyse führt es derzeit nur für Java durch.
Die Untersuchung dient im ersten Schritt dem Erkennen von Abhängigkeiten zu Komponenten, die bekannte Schwachstellen aufweisen. Anschließend testet es, ob die konkrete Anwendung tatsächlich betroffen ist oder den schwachstellenbehafteten Part der Komponente nicht verwendet. Im dritten Schritt soll das Werkzeug Entwicklern helfen, mit möglichst wenig Aufwand die Schwachstelle zu beheben, ohne die Anwendung zu beeinträchtigen.
Statisch und dynamisch
Vor allem der zweite Schritt geht über andere Ansätze hinaus, da das Tool analysiert, wie Anwendungen Komponenten verwenden. Es kombiniert für Java-Anwendungen statische und dynamische Codeanalyse, um zu erkennen, welche Teile der Anwendung auf welche Parts der Komponenten zugreifen. Für Anwendungen, die schwachstellenbehafteten Code tatsächlich aufrufen, stuft es das Risiko als hoch ein. Für Applikationen, die Komponenten mit Schwachstellen verwenden, aber die betroffenen Methoden nicht aufrufen, gilt das Risiko als niedrig.
Das Tool schlägt schließlich Gegenmaßnahmen zur Schadensminimierung vor. Dabei berücksichtigt es neben dem Beheben der Anfälligkeit auch potenzielle Inkompatibilität durch Änderungen und den benötigten Aufwand zum Anpassen der Anwendung. Entwickler können selbst entscheiden, einzelne Punkte nicht zu berücksichtigen, wenn sie der Überzeugung sind, dass sie im Kontext der Anwendung keine Gefahr darstellen.
Rückblick und Weiterentwicklung
Das Vulnerability Assessment Tool ist als internes Werkzeug bei SAP entstanden. Seit 2017 ist der Einsatz für die Entwicklung aller Java- und Python-Anwendungen beim Softwarehaus obligatorisch, das monatlich laut eigenen Angaben mehr als 150.000 Scans auf gut 1500 Projekte durchführt. Neben der Software hat SAP eine Datenbank mit gut 1000 Schwachstellen für die Öffentlichkeit freigegeben.
Die Eclipse Foundation sieht sich vor allem aufgrund der Nähe zu Java als gute Heimat für das Werkzeug. In der Proposal-Seite ist vermerkt, dass keine Lizenzprobleme zu erwarten sind und "Vulnerability Assessment Tool" nicht als Warenzeichen eingetragen ist.
Auf der heise devSec hält der Project Lead des Vulnerability Assessment Tool Henrik Plate einen Vortrag über "Erkennung, Bewertung und Korrektur schwachstellenbehafteter Open-Source-Abhängigkeiten". heise Developer, heise Security und der dpunkt.verlag richten vom 24. bis 26. September 2019 die Konferenz für sichere Software- und Webentwicklung aus, die zum dritten Mal in Folge ausverkauft ist.
Für die Zukunft möchten die Entwickler einige Funktionen ergänzen. So soll das Tool künftig auch JavaScript beziehungsweise Node.js unterstützen und die statische und dynamische Codeanalyse nicht nur für Java, sondern auch für Python bieten. Es soll zudem Authentifizierungs- und Autorisierungsvorgänge überprüfen und ein frisches UI erhalten.
Weitere Details lassen sich der Projektseite zum Proposal bei der Eclipse Foundation entnehmen. Der Sourcecode zum Vulnerability Assessment Tool ist auf GitHub zu finden. Dort sind auch die Dokumentation sowie Tutorials für Java- und Python-Entwickler verlinkt.
Siehe dazu auf heise Developer:
(rme)
