Codeanalyse: CodeSentry 2.0 bietet Risiko-Score für Sicherheitsschwachstellen

Das Tool zur statischen Codeanalyse erlaubt per Executive Dashboard auch die Risiko-Scores von Code aus Drittanbietersoftware zu überblicken.

In Pocket speichern vorlesen Druckansicht 1 Kommentar lesen

(Bild: rvlsoft/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Silke Hahn

GrammaTech, ein Anbieter von Werkzeugen zur statischen Codeanalyse und zum Aufdecken von Sicherheitsschwachstellen, hat die Verfügbarkeit von CodeSentry 2.0 bekannt gegeben. Die neue Version bietet unter anderem die Möglichkeit, per Executive Dashboard den Risiko-Score für Anwendungen im Blick zu behalten. Das zugrunde liegende Common Vulnerability Scoring System (CVSS) speist sich aus erkannten Schwachstellen und Key-Performance-Indikatoren (KPI). Laut Anbieter hat das CodeSentry-Team in Version 2.0 auch das Reporting für die Compliance- und Risk-Governance-Audits erweitert.

Da der Quellcode proprietärer zugekaufter Anwendungen in der Regel nicht zur Verfügung steht, führt CodeSentry 2.0 laut Anbieter eine Analyse des Binärcodes durch, um Zero-Day- und N-Day-Sicherheitslücken aufzudecken, und ermittelt dabei einen Risiko-Score für die Applikationen von Drittanbietern. Konkret analysiert CodeSentry 2.0 den "Fremdcode" auf seine Zusammensetzung hin und zeigt Schwachstellen an. Anschließend fertigt das Tool sogenannte Software-Stücklisten der Ergebnisse an (Software Bill of Materials). Das Tool unterstützt eine Reihe von Software-Bill-of-Materials-Formaten, so unter anderem auch den Industriestandard CycloneDX.

Laut Pressemeldung stammen rund 40 Prozent des Codes in Softwareentwicklungsprojekten aus Open-Source- oder anderen Drittanbieter-Quellen (bei der Prozentangabe verweist GrammaTech auf eine Analyse von VDC Research, die heise Developer jedoch nicht vorliegt). Die im Frühjahr erfolgten Hackerangriffe auf beispielsweise SolarWinds hätten sich laut Anbieter durch die Überprüfung der verwendeten "Third-Party-Software" offenbar verhindern lassen.

Weitere Informationen lassen sich der Website von GrammTech entnehmen. Die Software ist direkt bei GrammaTech oder über den deutschen Distributor Verifysoft Technology beziehbar.

GrammaTech ist ein Anbieter von Application Security Testing (AST) zum Erkennen, Messen, Analysieren und Beheben von Schwachstellen in Software. Das Unternehmen mit Hauptsitz in Maryland (USA) betreibt ein Forschungszentrum in New York und eine Bildungsabteilung für Softwareentwickler. In den USA arbeitet es als Forschungspartner für Cybersicherheit und Künstliche Intelligenz für zivile, militärische und nachrichtendienstliche Einrichtungen.

(sih)