Viele Schwachstellen in Software lassen sich ausnutzen, obwohl Firmen Antiviren-Tools, Firewall und Intrusion Prevention nutzen. Fortify hat sich deshalb entschlossen, Sicherheit als kontinuierlichen Prozess von der Entwicklung bis hin zum Betrieb zu verstehen. Der Anbieter setzt darauf, Applikationscode nicht nur bei der Entwicklung zu testen, sondern auch Live-Systeme ständig zu kontrollieren und Sicherheitslücken zu schließen. Neben entsprechender Technik sieht Fortify dafür auch organisatorische Maßnahmen vor. Dazu zählt etwa eine bessere Abstimmung zwischen Sicherheitsexperten, Qualitätssicherung und Entwicklern. Laut Fortify liegt ein Kernproblem darin, dass Entwicklungsteams möglichst schnell leistungsfähigen Code schreiben möchten, die Sicherheit dabei aber immer wieder vernachlässigt wird. Doch gerade Schwachstellen im Quellcode seien Ursache vieler Probleme, insbesondere bei über das Web zugänglichen Geschäftsapplikationen.
Schutz auf Applikationsebene
Der Hersteller richtet sich mit seinem Angebot an die für Risiko-Management Verantwortlichen. Angesprochen werden Firmen, die eigene Geschäftsapplikationen entwickeln, sich Risiken wie Hacker-Attacken sowie anderen Bedrohungen ausgesetzt sehen und ihre bestehenden Schutzeinrichtungen ergänzen wollen. Handlungsbedarf bestehe, weil sich Eindringlinge zunehmend auf die Applikationsebene von Web-Umgebungen einschießen. Von Erfolg gekrönt werde die Idee vor allem dann sein, wenn auch die Geschäftspartner und sogar die Kunden ihre eigenen Applikationen einer kontinuierlichen Sicherheitskontrolle unterzögen.
Bestehende Produkte kombiniert
Der Sicherheitsspezialist stützt sein Konzept auf das neue Produkt "Fortify 360", das eine Reihe von Softwarebausteinen bereitstellt, mit denen Unternehmen Sicherheitsschwachstellen in ihren Programmen erkennen und beheben können. Neben Analysemethoden zählen dazu Funktionen, um Probleme zu identifizieren sowie deren Gefahrenpotenzial einschätzen zu können. Dashboards liefern Berichte zur Gefahrensituation über verschiedene Anwendungen hinweg. Fortify kombiniert in der Suite bereits bestehende Bausteine für die statische Code-Analyse und das Inspizieren von dynamischem Programmcode. Nach Einschätzung von Stefan Strobel, Geschäftsführer des auf IT-Sicherheit spezialisierten Beratungshauses Cirosec aus Heilbronn, kann Fortify im Gegensatz zu anderen Herstellern eine integrierte Suite aus statischer und dynamischer Code-Untersuchung anbieten. Während laut Strobel Funktionen zum statischen Durchforsten von Codezeilen für zahlreiche Sprachen verfügbar sind, funktioniert die dynamische Kontrolle nur bei Programmen, die mit einer Zwischensprache (Bytecode) arbeiten. Dazu zählen unter anderem die Sprachen C# und Java. (fn)