Microsoft stellt Unternehmen eigene Sicherheitswerkzeuge bereit
Damit Unternehmen sichere Applikationen entwickeln und Sicherheitsanforderungen umsetzen können, hat Microsoft heute zwei Werkzeuge aus der internen Kiste auch seinen Mitbewerbern und Kunden zugänglich gemacht sowie ein weiteres Audittool veröffentlicht.
Microsoft stellt zur CeBIT (Halle 6, Stand E 12) gleich drei Werkzeuge vor, die Unternehmen bei der Entwicklung sicherer Anwendungen und der Identifizierung der größten Bedrohungen für die Firmen-IT helfen sollen. Zwei von ihnen, "CAT.NET", das der Code-Analyse dient, sowie eine Software für "Threat Analysis & Modeling", wurden bislang nur intern in der Softwareschmiede genutzt. Ein drittes, ein Audittool namens SPIDER, wurde neu entwickelt.
CAT.NET ist angesiedelt zwischen den herkömmlichen Penetrationstest-Werkzeugen, die automatisiert Angriffe auf Applikationen fahren, und dem manuellen Untersuchen des Anwendungs-Sourcecodes auf potenzielle Einfallstore durch den Sicherheitsexperten. Das Werkzeug soll den Prozess des manuellen Code-Reviewens automatisiert unterstützen. Dabei sucht das Werkzeug nach häufigen sicherheitsrelevanten Programmierfehlern, die Angriffe auf Applikationsebene wie Cross Site Scripting, SQL Injection, XPATH Injection oder LDAP Injection ermöglichen. Es analysiert, wie das untersuchte Programm die Eingabedaten behandelt.
Die Software für "Threat Analysis & Modeling" soll Projektmanagern und Teamleitern von Entwicklungsabteilungen helfen, Bedrohungsszenarien zu modellieren und dafür Verantwortlichkeiten zu definieren. Überdies soll sie bei der Umsetzung der Sicherheitsziele bei der Softwareerstellung helfen. Wenn beispielsweise die Richtlinie eines Unternehmens die Verschlüsselung von Kundendaten zwingend vorschreibt, hilft die Software den Projektverantwortlichen, dieses Ziel nicht aus den Augen zu verlieren.
Das dritte Werkzeug, eine Auditsoftware namens Spider, überprüft die sicherheitstechnischen Richtlinien innerhalb eines Unternehmens – Stichwort Compliance. Mit Hilfe der Berichts- und Darstellungsfunktion des Microsoft SQL Server soll Spider Manager über die Erfüllung dieser Vorgaben unterrichten und sie bei weiteren Entscheidungen unterstützen.
Laut Aussagen von Microsoft sind alle drei Werkzeuge seit heute erhältlich, jedoch nur bei der Softwareschmiede selbst und bei zertifizierten Partnern. (Lukas Grunwald) / (ur)
