Softwareentwicklung: Ein kritischer Blick auf statische Codeanalyse-Verfahren

Statische Codeanalyse ist hilfreich, darf aber nicht als alleiniges Maß für die Sicherheit von Code herhalten. Codereviews vermag sie nicht zu ersetzen.

Artikel verschenken

6

(Bild: BEST-BACKGROUNDS / Shutterstock.com)

25.07.2019, 17:35 Uhr

Lesezeit: 21 Min.

iX Magazin

Von

Andreas Wiegenstein

Softwareentwicklung: Ein kritischer Blick auf statische Codeanalyse-Verfahren
- Listing 1: Command Injection in SAP ABAP
- Auch KIS(S) hilft nicht weiter
Quellen und Senken
Datenflussanalyse und getarnte Datenübertragung
Fazit

Artikel in iX 8/2019 lesen

Die Marketingprospekte sind auf hochwertiges Papier gedruckt, die Liste von Anbietern füllt bei Wikipedia mehrere Bildschirmseiten: Wer den Anbietern von Werkzeugen zur statischen Codeanalyse (SCA) glaubt, der erfährt bei deren Einsatz geradezu sensationelle Ergebnisse. Doch leider deckt sich die Realität nicht immer mit den Erwartungen, und allzu oft halten die Resultate einer genaueren Untersuchung nicht stand. Manchmal scheint es gar, als hätte eine Wahrsagerin schlicht ihre Kristallkugel bemüht.

Weil aber Anwendungssicherheit ein wichtiger Bestandteil jeder ausgereiften Sicherheitsstrategie ist, sind Unternehmen bereit, erhebliche Mittel in SCA-Werkzeuge zu investieren, um Sicherheitsmängel in (ihrem) Quellcode zu erkennen. Deren Marketing verspricht ja auch breite, präzise und effiziente Testabdeckung. Und das wiegt vor allem das IT-Management bisweilen in trügerischer Sicherheit.

SCA-Produkte liefern sehr gute Ergebnisse, wenn es um menschliche Fehler vor allem von unerfahrenen Programmierern, unsauberen Code oder Compliance-Verstöße geht, ein Allheilmittel sind sie jedoch nicht. Wer glaubt, die SCA-Tools brächten eine signifikante Verbesserung der Sicherheit gegen Hacker, Malware oder gar böswillige Mitarbeiter, der täuscht sich. Dennoch findet man bei Gesprächen mit IT-Managern häufig die Einstellung "Unser Code ist sicher, wir haben doch teure SCA-Software im Einsatz", selbst bei Diskussionen über die neuesten APT-Angriffsvarianten. Klar, auch dynamische Tools und Profiler lassen sich austricksen, doch sprechen nicht immer alle Anbieter offen über die Grenzen der statischen Codeanalyse.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Messung der Oberflächentemperatur einer Niedertemperatur-Infrarotheizung mit Wärmebildkamera.

Wärme auf Knopfdruck: Was Infrarotstrahler als Zusatzheizung leisten

Niedrigtemperatur-Infrarotstrahler können schnell und bedarfsgerecht für Wohlbefinden sorgen. Beim Kauf sollten Verbraucher einiges beachten.

Leistungsstarke Vaillant-Wärmepumpe vor leistungsbedürftigem Bestandshaus.

Vergleich: Die 44 interessantesten Monoblock-Wärmepumpen mit R290 zur Sanierung

Wir schauen uns den Markt der Monoblock-Propan-Luft-Wasser-Wärmepumpen für 12 +-1 kW Heizlast an und sortieren nach Funktion und Herstellerländern.

PC-Bauvorschlag: High-End-Allrounder mit Ryzen 9000 und Radeon RX 9070 XT

Unser leistungsfähiger, aber leiser Bauvorschlag tritt in zwei Varianten an. Sie können ihn für Gaming, KI-Anwendungen sowie Foto- und Videobearbeitung nutzen.

Elektroauto lädt an bidrektionaler Wallbox

Kaufberatung: Wallboxen mit Gleich- und Wechselstrom für bidirektionales Laden

Bidirektionales Laden nimmt auch in Deutschland langsam an Fahrt auf. Wir zeigen, welche passenden Wallboxen verfügbar und angekündigt sind.

In Ruhe genießen: Elf Over-Ear-Kopfhörer im Test

Viele Over-Ear-Kopfhörer klingen gut, Modelle mit Active Noise Cancellation filtern Störgeräusche heraus. Doch was taugen Bose, Sonos, Sony & Co. wirklich?

Cybersicherheit: Das ändert sich durch das NIS2-Umsetzungsgesetz

Als umfassendster Rechtsrahmen für Cybersicherheit verankert es Informationssicherheit als dauerhafte Führungsaufgabe in Unternehmen und Behörden gleichermaßen.