Codyze automatisiert Analyse von Cybersicherheitsanforderungen in Software

Code-Analyse-Tool Codyze, prüft Einhaltung von regulatorischen Anforderungen, etwa Bestimmungen des Cyber Resilience Acts. Quelle: AISEC

Quelle: AISEC

Das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC) hat das Code-Analyse-Tool Codyze entwickelt, um Aufgaben wie die Überprüfung der Einhaltung von regulatorischen Anforderungen, etwa Bestimmungen des Cyber Resilience Acts zu automatisieren.

Codyze wandle produktbezogene Anforderungen in überprüfbare Regeln um und bewertet automatisch, ob der Quellcode des Produkts diese erfüllt. Dabei arbeite Codyze sprach- und mikroserviceübergreifend und lege Analyseergebnisse für Entwickler, Sicherheitsteams und Auditoren transparent dar, teilt das AISEC mit.

Im Detail unterstützt Codyze zahlreiche Programmiersprachen wie Java, C/C++, Python, Go, TypeScript, Ruby, LLVM-IR, Rust und C#. Die beiden letzteren Sprachen will AISEC demnächst hinzufügen. Als Open-Source-Software sei Codyze zudem sofort einsatzbereit und biete auch eine Analyse des Gesamtsystems an.

Um Software über verschiedene Sprachen und Frameworks hinweg effektiv zu analysieren, verzichte Codyze auf die Betrachtung des reinen Textes. Stattdessen wandle das Tool den Quellcode in einen Code Property Graph (CPG) um. Dieser dient laut den Fraunhofer-Entwicklern als Abstraktion des Quellcodes und führt abstrakte Syntaxbäume (ASTs), Kontrollflussgraphen (CFGs) sowie Datenflussgraphen in einer einzigen, durchsuchbaren Repräsentation zusammen. Der Einsatz von Code Property Graphs habe sich für sprachunabhängige Sicherheitsanalysen als vorteilhaft erwiesen, da die Kombination der Teilgraphen Informationsverluste minimiert und zugleich eine Abstraktion des eigentlichen Quellcodes biete.

Ein Blogbeitrag liefert zusätzliche Informationen und Beispiele zum ersten Einsatz.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben