Suchen

Open Source Security Code-Analyse per Black Duck Security Checker

Redakteur: Stephan Augsten

Mit dem „Security Checker“ stellt Black Duck ein kostenloses Tool zur Schwachstellen-Analyse von Open-Source-Code bereit. Die Web App scannt Docker Images und Quellcode-Archive, die sich einfach per Drag und Drop hochladen lassen.

Firma zum Thema

Open-Source-Schwachstellen im Quellcode lassen sich kostenlos mit dem Black Duck Security Checker ausfindig machen.
Open-Source-Schwachstellen im Quellcode lassen sich kostenlos mit dem Black Duck Security Checker ausfindig machen.
(Bild: Black Duck)

Der Security Checker basiert auf der kommerziellen Lösung Black Duck Hub und scannt den Code innerhalb hochgeladener Archive, darunter .tar, .jar oder .zip, oder Docker-Imagedateien. Als Dateigröße für einen Scan mit dem Security Checker gibt Black Duck maximal 100 Megabyte (MB) an.

Nach Angaben von Lou Shipley, CEO von Black Duck, dauert der komplette Scan-Prozess ungefähr 15 Minuten. „Es lohnt sich, diese Zeit zu investieren, denn der Nutzer erhält einen wertvollen Einblick in die Sicherheit seines Open Source-Codes.“

Ein Report zeigt alle bekannten Sicherheitslücken auf, die sich auf Open Source zurückführen lassen oder damit in Verbindung stehen. Shipley hofft, dass die Scan-Ergebnisse des Security Checkers bei vielen Open Source-Nutzern einen ‚Aha-Effekt‘ auslösen.

Anfang des Monats hat Black Duck einen Bericht zum Stand der Open-Source-Sicherheit veröffentlicht. Die Daten dazu stammen aus Audits von 200 kommerziellen Anwendungen, die von der On-Demand Business Unit des Unternehmens durchgeführt wurden.

Zwei Drittel der untersuchten Anwendungen enthielten demnach bekannte Open Source Vulnerabilities, von denen wiederum mehr als ein Drittel als „gravierend“ eingestuft wurden. Zudem enthielten zehn Prozent die Heartbleed-Schwachstelle, die bereits im April 2014 entdeckt wurde.

Artikelfiles und Artikellinks

(ID:44407292)