Im Januar 2019 hat Veracode den neuen State of Software Security Report veröffentlicht. Mehr als zwei Billionen Code-Zeilen wurden dafür über ein Jahr lang analysiert, die Ergebnisse sind alarmierend. Über 85 Prozent aller untersuchten Anwendungen haben mindestens eine Schwachstelle, viele treten bereits seit Jahren auf und betreffen häufig die Kryptografie.
Hier setzt das Fraunhofer IEM mit CogniCrypt, einem Werkzeug zur statischen Code-Analyse, an. Das Produkt gibt eine Information über die Qualität des Programmcodes und die genutzten Kryptobibliotheken. In dem „it’s OWL“-Transferprojekt haben das Fraunhofer IEM und die achelos GmbH vier Monate gemeinsam an der Weiterentwicklung von CogniCrypt gearbeitet. Die Ergebnisse sind in Form eines Wissenstransfers und der Integration zusätzlicher Kryptobibliotheken in das Open-Source-Produkt eingeflossen.
Kontinuierlicher Wissenstransfer im Transferprojekt
Die Security-Expertinnen und -Experten von achelos haben das Produkt in den Continuous-Integration-Prozess ihrer Softwareentwicklung integriert und das Werkzeug getestet. achelos konnte ihr tiefes kryptografisches Wissen im Rahmen des Förderprojekts einbringen und so gemeinsam mit dem Fraunhofer IEM zur kontinuierlichen Weiterentwicklung des Produkts beitragen. CogniCrypt ist um neue Regeln erweitert worden, die Fehlimplementierungen anderer Bibliotheken (Bouncy Castle) erkennen und Sicherheitslücken frühzeitig vermeiden. Die Regeln wurden hierbei konform der Technischen Richtlinie 02102-1 des BSI geschrieben.
CogniCrypt macht die Softwareentwicklung sicherer und qualitativ hochwertiger: Die Experten von achelos werden durch CogniCrypt bei Code Reviews zusätzlich unterstützt, denn das Werkzeug erbringt den Nachweis korrekt genutzter Anwendungsschnittstellen (APIs).
„Die Kryptoexpertise von achelos hat uns einen deutlichen Mehrwert bei der Weiterentwicklung von CogniCrypt gebracht“, fasst Dr. Johannes Späth, Seniorexperte am Fraunhofer IEM, die erfolgreiche Zusammenarbeit mit achelos zusammen. „Sicherheit und Kryptografie zählen zu unseren Kernkompetenzen, im Transferprojekt mit dem Fraunhofer IEM konnten wir unsere praktische Erfahrung in das hochperformante Werkzeug einbringen“, ergänzt Kathrin Asmuth, Geschäftsführende Gesellschafterin der achelos GmbH.
Titelbild: Eclipse-Plugin CogniCrypt, © Fraunhofer-Institut für Entwurfstechnik Mechatronik IEM, Paderborn 2019
