Adventskalender: Von 24 Java-Sicherheitsfehlern lernen

Die Adventszeit steht vor der Tür, und die Redaktion von heise Developer freut sich schon auf den Adventskalender von RIPS Technologies, auf dem dieses Mal von 1. bis 24. Dezember täglich ein neuer Java-Code-Ausschnitt mit einem kritischen Sicherheitsfehler veröffentlicht wird. Jeder dieser versteckten Fehler liegt wohl in Form eines klassischen Schwachstellentyps, eines fehlerhaften Sicherheitspatches, das sich irgendwie umgehen lässt, oder einer harmlos aussehenden Funktion vor, die Angreifer missbrauchen könnten.

Zur Verbesserung der Kompetenz beim Thema Sicherheit gilt es, die Schwachstelle und einen Weg zu finden, sie auszunutzen. Jedoch wird RIPS Technologies mit jeder Aufgabe auch die Lösung mitgeben. Entwickler und Sicherheitsexperten sollen so über verschiedene Fallstricke und Tricks der Java-Programmiersprache informiert werden, die sie auch in anderen Sprachen nutzen können.

2017 und 2018 (mit Schwerpunkt auf WordPress) musste die Skriptspache PHP für den Kalender herhalten. Das Thema der diesjährigen Aktion kommt nicht ganz uneigennützig, hat RIPS Technologies mittlerweile Java als unterstützte Sprache in seiner Software für die automatisierte Code-Analyse ergänzt. (ane)