Für den State of Software Security Report des US-Security-Spezialisten Veracode wurden mehr als zwei Billionen Code-Zeilen analysiert. Es zeigte sich, dass über 85 % aller untersuchten Anwendungen mindestens eine Schwachstelle aufweisen. Diese treten teils bereits seit Jahren auf und betreffen häufig die Kryptografie. Hier setzt das Fraunhofer-Institut für Entwurfstechnik Mechatronik (IEM) mit CogniCrypt an. Mit dem Werkzeug zur statischen Code-Analyse lassen sich sicherheitskritische Fehlbenutzungen kryptografischer Bibliotheken schnell und zuverlässig identifizieren und beheben sowie vollautomatisch sicheren Krypto-Integrationscode für verschiedene gängige Nutzungsszenarien generieren. Als Plug-in lässt es sich in die Entwicklungsumgebung Eclipse einbinden.

In einem Transferprojekt des Technologie-Netzwerk it‘s OWL haben das Fraunhofer IEM und die achelos GmbH das Tool nun weiterentwickelt. CogniCrypt wurde um neue Regeln erweitert, die Fehlimplementierungen anderer Bibliotheken (Bouncy Castle) erkennen und Sicherheitslücken frühzeitig vermeiden. Die Regeln wurden hierbei konform zur Technischen Richtlinie 02102-1 des BSI geschrieben.