Kostenloser Bug-Scan für Java-Applikationen

12.12.2006
Ein neuer Service überprüft quelloffene Java-Software auf Schwachstellen.

Fortify Software und das auf Qualitätschecks spezialisierte Projekt FindBugs haben einen kostenlosen Scan-Service an den Start geschickt, der quelloffene Java-Applikationen auf Sicherheitslücken untersucht. Die auf den Namen "Java Open Review" (JOR) getaufte Initiative soll es jedem Open-Source-Projekt ermöglichen, seinen Java-Quellcode mit Hilfe von Fortifys Software zur Codeanalyse sowie dem von der Universität Maryland entwickelten Tool "FindBugs" einer Überprüfung zu unterziehen.

Erklärtes Ziel des JOR-Projekts ist es, die Entwicklung von Open-Source-Software zu beschleunigen und Anwendern quelloffener Applikationen eine Art Sicherheitssiegel zur Verfügung zu stellen. Angesichts der zunehmenden Fokussierung auf sichere Softwareentwicklungsverfahren benötige auch die Java-Community fortschrittlichere Werkzeuge zum Aufspüren von Bugs, kommentiert Barmak Meftah, Vice President Product and Services bei Fortify, das neue Angebot.

Auf diese Weise könnten Open-Source-Entwickler nun die Fortify-Software "Source Code Analysis" nutzen, die auch kommerzielle Anbieter wie Oracle und Adobe Systems einsetzen. Allerdings ist die kostenlose JOR-Analyse nicht ganz so detailliert wie die Quellcode-Überprüfung durch das kommerzielle Produkt des Anbieters: Während Letzteres laut Meftah rund 120 Kategorien von Softwareproblemen aufspüren kann, beschränkt sich die JOR-Analyse auf die 40 gefährlichsten und für die Entwickler eingängigsten Schwachstellenbereiche.

In den vergangenen sechs Wochen will JOR bereits eine ganze Reihe von Open-Source-Projekten gescannt und dabei Hunderte von Bugs in Applikationen wie Apache Tomcat oder dem E-Mail-Server Zimbra gefunden haben. (kf)