Codescanner Software analysieren ohne Quellcode

VUSC nimmt Software unter die Lupe und prüft auf Schwachstellen.
VUSC nimmt Software unter die Lupe und prüft auf Schwachstellen.

Ist die zugekaufte Softwarekomponente wirklich sicher? – Diese Frage beantwortet der Codescanner VUSC. Er unterstützt Android, iOS und Java.

Software übernimmt im Alltag immer mehr Funktionen und sollte deshalb Mindestanforderungen an IT-Sicherheit erfüllen. Doch wie erkennt man, ob eine frische App, ein ergänzendes Software-Update oder ein Stück Code sicher ist? VUSC, der Codescanner des Fraunhofer-Instituts für Sichere Informationstechnologie SIT, prüft Software automatisiert und detektiert Schwachstellen innerhalb von Minuten. Im Gegensatz zu anderen Softwarescannern benötigt VUSC keinen Quellcode. Weiterer Pluspunkt: VUSC arbeitet on premises und nicht in der Cloud – dadurch haben Nutzer jederzeit volle Kontrolle über ihre Daten.

Ist die Software, die für das eigene Unternehmen gekauft werden soll, auch sicher? Ist die Arbeit des externen Softwareentwicklers fehlerfrei? Ist die selbst entwickelte App wirklich sicher? Mithilfe von VUSC lassen sich diese Fragen schnell beantworten. Per drag and drop wird die zu untersuchende Datei einfach in den Scanner geladen, und ein paar Minuten später zeigt VUSC das Ergebnis der Sicherheitsprüfung an. Dafür braucht der Fraunhofer-Scanner weder den Quellcode, noch muss die zu prüfende Software zu fremden Servern geschickt werden.

Schwachstellen finden und bewerten

VUSC findet nicht nur Sicherheitslücken, sondern gibt zu jeder Schwachstelle eine allgemein verständliche Beschreibung des Problems. Darüber hinaus erstellt VUSC automatisch eine Klassifizierung der Schwachstellen. So sehen Nutzer auf einen Blick, ob die gefundene Schwachstelle ein hohes, mittleres oder geringes Risiko darstellt. Mithilfe dieser übersichtlichen Priorisierung können sie zuerst die schwerwiegendsten Fehler beheben.

Darüber hinaus liefert VUSC zahlreiche Detailinformationen zu den gefundenen Sicherheitslücken: Welche Daten sind betroffen? Wohin werden sie gesendet? Welche Art der Verschlüsselung nutzt die geprüfte Software? VUSC-Nutzer erhalten so eine Übersicht über konkrete Risikofaktoren. Zusätzlich passt Fraunhofer bei Bedarf den Scanner auch an firmenspezifische Sicherheitsanforderungen an.

Der Scanner unterstützt Android-Apps, iOS-Apps, Java-Programme, Java-Webstart-Anwendungen, Java-Enterprise-Anwendungen und überprüft auch Frameworks. Er unterstützt unternehmen z.B. bei der Sicherheitsbewertung fremder Software, bei der Qualitätssicherung, bei der Bewertung von Open-Source-Produkten sowie bei Datenschutz-Analysen (DSGVO).