Optimierte Open-Source-Software verbessert Entwicklungsprozess

Kryptographie ist die Kernkomponente vieler Sicherheitsfunktionen in einer Software. Jedoch passieren leicht Fehler bei der Nutzung von Software-Bibliotheken, die kryptographische Funktionen bereitstellen. Eine fehlerhafte Nutzung der Bibliotheken kann sogar die Sicherheit der entwickelten Software gefährden. Zusammen mit dem Softwarehersteller achelos arbeitet das Fraunhofer IEM an einer Lösung zur korrekten Benutzung von Kryptographie-Bibliotheken. Das Werkzeug CogniCrypt soll an verschiedenen Stellen im Softwareentwicklungsprozess integriert werden und so die Sicherheit der Software verbessern, indem die richtige Anwendung von Kryptografie-Bibliotheken sichergestellt wird.

CogniCrypt ist ein Open-Source-Werkzeug zur statischen Codeanalyse. Es gibt Softwareentwicklern Informationen über die Qualität ihres Programmcodes bezüglich der Nutzung von Kryptographie-Bibliotheken. Das Fraunhofer IEM hat CogniCrypt an zwei Stellen in den Softwareentwicklungsprozess bei achelos integriert: Zum einen in die Entwicklungsumgebung, damit die Entwickler frühestmöglich eine Rückmeldung zu einer fehlerhaften Benutzung der Kryptographie-Bibliothek erhalten. Zum anderen in die Continuous Integration, wodurch Entwickler auf eine Übersicht der Fehlerbehebung im zeitlichen Verlauf zugreifen können. Diese Integration wurde von achelos umfassend getestet und hat zur kontinuierlichen Weiterentwicklung von Cogni-Crypt beigetragen. Die Software wurde weiterhin entsprechend der technischen Richtlinie 02102-1 des BSI-Standard um einen Regelsatz erweitert, der Fehlbenutzungen der meistverwendeten Funktionen der Bouncy Castle-Bibliothek – einer Sammlung quelloffener kryptographischer Programmierschnittstellen – erkennt und Sicherheitslücken frühzeitig vermeidet.
Die Projektpartner haben CogniCrypt gemeinsam weiterentwickelt und die Softwareentwicklung sicherer und hochwertiger gemacht. Die aktuelle Version von CogniCrypt ist bei achelos erfolgreich im Einsatz: Die Experten des Softwareentwicklungsunternehmens werden durch das Werkzeug bei Code Reviews zusätzlich unterstützt und profitieren von den Nachweisen korrekt genutzter Anwendungsschnittstellen.