Ein kritischer Blick auf statische Codeanalyse-Verfahren

Die Marketingprospekte sind auf hochwertiges Papier gedruckt, die Liste von Anbietern füllt bei Wikipedia mehrere Bildschirmseiten: Wer den Anbietern von Werkzeugen zur statischen Codeanalyse (SCA) glaubt, der erfährt bei deren Einsatz geradezu sensationelle Ergebnisse. Doch leider deckt sich die Realität nicht immer mit den Erwartungen, und allzu oft halten die Resultate einer genaueren Untersuchung nicht stand. Manchmal scheint es gar, als hätte eine Wahrsagerin schlicht ihre Kristallkugel bemüht.

Weil aber Anwendungssicherheit ein wichtiger Bestandteil jeder ausgereiften Sicherheitsstrategie ist, sind Unternehmen bereit, erhebliche Mittel in SCA-Werk­zeuge zu investieren, um Sicherheitsmängel in (ihrem) Quellcode zu erkennen. Deren Marketing verspricht ja auch breite, präzise und effiziente Testabdeckung. Und das wiegt vor allem das IT-Management bisweilen in trügerischer Sicherheit.