Von Alexander Roth
Fortify Software präsentiert die fünfte Version von "Fortify SCA": Die Lösung dient der Sicherheitsanalyse von Programm-Quellcodes und soll professionelle Softwareentwickler dabei unterstützen, potenzielle Schwachstellen und Sicherheits-lücken einer Applikation bereits während des Entwicklungsprozesses zu erkennen und gleich zu beseitigen.
Für die neue Version verspricht Fortify einen stark erweiterten Funktionsumfang, wobei der Hersteller nach eigenen Angaben die Wünsche der Anwender berücksichtigt hat: Optische Masken (Wizards) helfen beispielsweise beim Erstellen individueller Sicherheitsregeln. Auch gibt es nun "Teamfunktionen", die eine Zusammenarbeit mehrerer Softwareentwicklungsteams bei der Softwarekontrolle ermöglichen sollen.
Erkennt vier neue Programmiersprachen
Wie in ihren Vorgängerversionen lässt sich die Software in allen gängigen Betriebsystemumgebungen (Windows, Solaris, Linux, Mac OS X, HP-UX und AIX) einsetzen. Die Kompatibilität hat der Hersteller gesteigert: So kennt Fortify 5.0 neben den Programmiersprachen XML, ASP.NET, ColdFusion und Java nun auch die Sprachen PHP, JavaScript (Ajax) und Classic ASP/VB Script (VB 6) sowie Teile von Cobol.
Die Unterstützung von PHP und JavaScript soll den Entwicklern vor allem dabei helfen, ihre Anwendungen vor neuen Web-2.0-Gefahren, wie den von Hackern gerne in Java-Skripts eingeschleusten Exploit-Codes, zu schützen. Die Kompatibilität mit Cobol und Classic ASP dient dagegen dem Absichern älterer Applikationssprachen, wie sie etwa in klassischen Service-orientierten Architekturen (SOA) zum Einsatz kommen.
Auch für die Sicherheit gibt es Neurungen: Nach Angaben des Herstellers ist es jetzt möglich, innerhalb weniger Minuten individuelle Sicherheitsregeln für die jeweiligen Anwendungen zu erstellen. Ermöglichen sollen das die bereits oben genannten "Wizards": Wird das Sicherheitsmenü aufgerufen, stellen Textmasken dem Anwender Schritt für Schritt eine Reihe von Fragen nach Einzelheiten zur gewünschten Form der Applikationssicherheit.
Des Weiteren zeigt die Administrationsoberfläche automatisch alle noch nicht mit Regeln versehenen Programmierschnittstellen (API) an. Dabei lassen sich direkt individuelle Policies für diese APIs erstellen.
Damit verschiedene Teams bei der Schwachstellenanalyse zusammenarbeiten können, hat Fortify eine weitere Konsole integriert, die ein vom Raum unabhängiges, gemeinsames Administrieren des Kontrollprozesses ermöglicht. Beispielsweise können Mitglieder eines Entwicklerteams die Er-gebnisse einer Quellcodeanalyse in der Konsolenoberfläche veröffentlichen, für Kommentare freigeben und Schwachstellen darstellen. Zudem wird jede Veränderung an einer Codestelle aufgezeichnet und in einer Zeitleiste mit einer exakten Zeitangabe und dem Namen des jeweils Handelnden dargestellt. Schließlich können alle Nutzer mit verschiedenen Rechten für die Kontrollprozesse ausgestattet werden.
Fortify SCA 5.0 ist ab sofort erhältlich. Der Preis für eine Entwicklerlizenz beträgt 1.400 US-Dollar.
Kurz gefasst
Hersteller: Fortify
www.fortifysoftware.de
Produkt: Fortify SCA 5.0
Produktgruppe: Sicherheits-lösungen
Verfügbarkeit: ab sofort
Preis: 1.400 US-Dollar pro Lizenz
+kennt alle gängigen Programmiersprachen
+ Funktionen zur Teamarbeit
- recht teuer
Meine Meinung: Gerade in Zeiten von Web 2.0, bei dem immer mehr Anwender anonym mit Applikationen interagieren, tauchen zunehmend neue Gefahren für die Applikations-sicherheit auf. Fortify SCA 5.0 hilft erfahrenen Programmie-rern, diese Problematik einzudämmen.