CRISP researchers introduce new tool for automated software analysis at it-sa

07/10/2019

New code scanner finds software vulnerabilities without source code

Software errors and security holes can cause billions of dollars in damage, ruin a company's reputation, and in the worst case, endange people's security. That's why CRISP researchers at the Fraunhofer SIT have developed VUSC - the code scanner. VUSC - short for Vulnerability Scanner - helps companies and developers  to locate vulnerabilities in third-party codes in minutes.

© Fraunhofer SIT

more information in German

Im Gegensatz zu herkömmlichen Analysetools benötigt VUSC nicht den Quellcode der zu untersuchenden Software. Außerdem lässt sich der Codescanner im eigenen Netzwerk betreiben, sodass sensible In­for­ma­tio­nen nicht ungewollt das Unternehmen verlassen. 

Experten schätzen, dass die jährlichen Verluste durch Softwarefehler und Sicher­heits­lücken allein in Deutschland rund 84 Milliarden Euro betragen. Für Entwickler, Softwarehersteller und Anwender ist deshalb die Fehlerfreiheit und Sicherheit ihrer Software entscheidend. Doch wie erkennen IT-Abteilungen, ob die neu gekaufte Softwarelösung sicher und fehlerfrei ist? Wie überprüfen Hersteller eingekauften Code von externen Entwicklern auf Fehler? Und wie weiß der Entwickler, ob seine App keine Schwachstellen enthält?

Schnelle Ergebnisse und Risikoeinschätzung
Mit dem neuen Codescanner VUSC, den Softwaresicherheitsexperten des Fraunhofer SIT entwickelt haben, lassen sich diese Fragen innerhalb von Minuten beantworten. „Die zu untersuchende Datei wird einfach per drag and drop in den Scanner geladen“, erklärt Dr. Steven Arzt, Projektleiter VUSC und Abteilungsleiter am Fraunhofer SIT. Für den Scan-Vorgang benötigt VUSC keinen Quellcode – „das ist ein Alleinstellungsmerkmal unserer Entwicklung“, sagt Steven Arzt. VUSC findet nicht nur Fehler und Sicher­heits­lücken, sondern klassifiziert diese auch. So können Nutzer mit einem Blick erkennen, ob die gefundene Schwachstelle ein niedriges, mittleres oder hohes Risiko darstellt. VUSC arbeitet außerdem on premises, sodass sensible Daten jederzeit beim VUSC-Nutzer bleiben und nicht an fremde Server geschickt werden.

Die Wissenschaftler zeigen VUSC erstmals auf der Security-Messe it-sa in Nürnberg, die vom 8. bis 10. Oktober stattfindet. Dort sind die CRISP-Experten auf dem Fraunhofer-Stand in Halle 9, Nr. 234 zu finden.

In­for­ma­tio­nen zu VUSC
In­for­ma­tio­nen zum Messeauftritt auf der it-sa

show all news