Anzeige
Anzeige
HANNOVER MESSE 2020, 20. - 24. April
wechseln zu:
Industrie 4.0

CogniCrypt erkennt Sicherheitslücken noch besser

Im Transferprojekt „it’s OWL“ haben das Fraunhofer IEM und die achelos GmbH gemeinsam an der Weiterentwicklung von CogniCrypt, einem Werkzeug zur statischen Code-Analyse, gearbeitet. Die Ergebnisse sind in das Open-Source-Produkt eingeflossen

02.08.2019
HMI-ID07-044br_fraunhoferIEM
Bild: Fraunhofer IEM

Für den State of Software Security Report des US-Security-Spezialisten Veracode wurden mehr als zwei Billionen Code-Zeilen analysiert. Es zeigte sich, dass über 85 % aller untersuchten Anwendungen mindestens eine Schwachstelle aufweisen. Diese treten teils bereits seit Jahren auf und betreffen häufig die Kryptografie. Hier setzt das Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) mit CogniCrypt an. Mit dem Werkzeug zur statischen Code-Analyse lassen sich sicherheitskritische Fehlbenutzungen kryptografischer Bibliotheken schnell und zuverlässig identifizieren und beheben sowie vollautomatisch sicheren Krypto-Integrationscode für verschiedene gängige Nutzungsszenarien generieren. Als Plug-in lässt es sich in die Entwicklungsumgebung Eclipse einbinden.

In einem Transferprojekt des Technologie-Netzwerk it‘s OWL haben das Fraunhofer IEM und die achelos GmbH das Tool nun weiterentwickelt. CogniCrypt wurde um neue Regeln erweitert, die Fehlimplementierungen anderer Bibliotheken (Bouncy Castle) erkennen und Sicherheitslücken frühzeitig vermeiden. Die Regeln wurden hierbei konform zur Technischen Richtlinie 02102-1 des BSI geschrieben.

Anzeige
Anzeige