Partnerschaft für mehr Sicherheit

CMS Sicherheit : Aufgrund seiner Historie wird bei der Entwicklung von Zikula enorm auf eine sichere Umgebung geachtet. Ungeachtet dessen ist Open Source Software jedoch aufgrund seiner hohen Einsatzbreite ein sehr lukratives Ziel für Angreifer, so dass das Spiel zwischen Katz und Maus noch eine lange Weile weitergehen wird.
Das auf Web-Security spezialisierte Unternehmen art of defence kooperiert mit Zikula und hilft von industrieller Seite, die Robustheit des Codes gegen gängige Angriffstypen zukünftig weiter zu verbessern. In diesem Artikel stellen wir art of defence sowie ihr Analysewerkzeug Hypersource vor.

Die art of defence GmbH hat sich auf die Sicherheit von Webapplikationen ausgerichtet und bietet Security-bezogene Softwareprodukte über den gesamten Lebenszyklus von Softwaresystemen. Damit verbessern sie die webbasierten Portale und eCommerce-Lösungen ihrer Kunden.

Das Werkzeug Hypersource dient der Quelltext-Analyse im Hinblick auf Schwachstellen im Code von Anwendungen auf Basis von PHP, Java und .NET. Das Tool erkennt eine Reihe verschiedener potenzieller Angriffsmöglichkeiten bereits während der Entwicklungsphase. Beispielsweise ist es in der Lage, XSS-Lücken, diverse Injections und bösartige Datei-Inkludierungen aufzuspüren. Mehr Informationen zu den unterschiedlichen Sicherheitsproblemen, die generell bei der Entwicklung von Webanwendungen zu beachten sind, liefert das Projekt CMS Sicherheit von Andreas.

Hypersource bedient sich intern einer statischen Analyse: alle Funktionen werden geprüft und der Code wird systematisch auf Schwachstellen untersucht. Anschließend werden alle gefundenen Schwachstellen verfolgt, um den Schweregrad, die Tiefe und den Umfang des Problems zu ermitteln. Der komplette Prozess läuft automatisiert ab und ist somit wesentlich zeitsparender als manuelle Reviews.



Der Kontakt zwischen art of defence und Zikula wurde auf der CeBit 2008 hergestellt, auf der jene eine kostenlose Prüfung von eigenem Code mit Hypersource angeboten hatte. Dies haben wir mit dem damaligen SVN-Stand des Cores sowie einer Auswahl an Modulen (unter anderem Content, MediaAttach, Multihook und Formicula) ausprobiert. Am Ende stand ein Report im PDF-Format, der bei den Core-Entwicklern sehr positiven Anklang gefunden hatte.

Mit dem deutschen Unternehmen hat das Zikula Application Framework nun einen kompetenten Partner für verschiedene Sicherheitsaspekte gewonnen, die im Zeitalter mobiler Endgeräte und automatisierter Angriffe weiter an Relevanz zunehmen werden. Da wir in regelmäßigen Abständen Quelltexte durchprüfen lassen können, finden wir schneller, leichter und zuverlässiger problematische Codefragmente im Core und auch in Drittmodulen - und zwar schon während der Entwicklung. Die erzeugten PDF-Reports geben Aufschluß über gefundene Probleme sowie Hinweise zu deren Behebung. Das bedeutet natürlich nicht, dass sichergestellt wird, dass es keine Angriffe mehr geben kann: die Gefährlichkeit eines Angreifers steigt mit seiner Kreativität. Aber allgemein kann eine Vielzahl von Gefahren vermieden werden, die manuell vielleicht lange übersehen werden.

Wir freuen uns über diese Kooperation, die eine profitable Bereicherung für unser Projekt darstellt. Weitere Informationen zum Unternehmen und seinen Lösungen sind auf der Homepage von art of defence zu finden.