Schwachstellenanalyse mit kostenloser Version von Black Duck Hub


    Tags: , ,

    Das Resultat einer Schwachstellenanalyse mit Security Checker von Black Duck SoftwareEine kosten­lose Lösung für die Schwach­stellen­analyse von Open-Source-Code hat Black Duck Software herausgebracht. Security Checker ist ein Online-Tool, das Programme auf Sicher­heits­lücken überprüft, wenn diese Open-Source-Kompo­nenten nutzen "Bezahlen" muss der Nutzer mit seiner E-Mail-Adresse.

    Der Code wird per Drag-and-Drop hochgeladen und analysiert. Die Dateien dürfen bis zu 100 MByte groß sein. Unterstützt werden gängige Archivformate wie .zip, .jar, .tar und .gz. Außerdem lassen sich Daten in Docker-Containern mit Security Checker überprüfen.

    Analyse in einer Viertelstunde

    Laut dem FAQ zu Security Checker dauert es etwa 15 Minuten, bis eine Untersuchung abgeschlossen ist. Als Grundlage dafür dienen die National Vulnerability Database (NVD) sowie weitere Quellen mit Informationen über Sicherheitslücken von Open-Source-Komponenten.

    Der Nutzer erhält einen Report. Er zeigt zum einen auf, welche Komponenten keine Sicherheitslücken aufweisen. Zum anderen werden die unsicheren Programm-Bestandteile aufgelistet, inklusive der entsprechenden Schwachstellen und des damit verbundenen Risikos. Im FAQ-Dokument sind einige Beispiele aufgelistet. So wird der Nutzer beispielsweise darauf hingewiesen, dass er veraltete Versionen von Python Pillow, OpenSSL oder Apache Tomcat verwendet.

    Einschränkungen der kostenlosen Version

    Mit Security Checker will Back Duck Werbung für seine kommerzielle Analyseplattform Black Duck Hub machen. Daher ist laut den FAQs die kostenfreie Nutzung von Security Checker auf drei Prüfläufe mit jeweils maximal 100 MByte begrenzt.

    Black Duck Security Checker: Die Daten, die überprüft werden sollen, werden über ein Web-GUI hochgeladen. Wer die kosten­pflichtige Version testen möchte, kann das 14 Tage lang kostenfrei tun (Details siehe hier). Black Duck Hub verfügt über erweiterte Funktionen. So erstellt die Software eine Prioritäten­liste.

    Sie empfiehlt, in welcher Reihenfolge Schwachstellen beseitigt werden sollten. Außerdem können IT-Fachleute nachverfolgen, welche Fortschritte diese Maßnahmen machen, sprich ob und wann Lücken geschlossen bzw. Updates durchgeführt wurden.

    Ein Datenblatt zu Black Duck Hub steht auf dieser Seite zur Verfügung. Etwas nervig ist allerdings, dass das Herunterladen von Daten­blättern und anderen Informations­materialien nur nach Angabe von Adressdaten möglich ist. Der Anbieter übertreibt es in dieser Beziehung mit dem Generieren von Adressen potenzieller Kunden und dürfte damit eher einen gegenteiligen Effekt erzielen.

    Keine Kommentare