Kostenloser Service überprüft Java-Code auf Bugs
Entwickler von Open-Source-Java-Software sollen es künftig leichter haben, ihren Code auf Fehler oder Lücken hin zu überprüfen. Hierfür wurde das "Java Open Review Project" ins Leben gerufen.
Mit Hilfe des "Java Open Review Projects" (JOR) können Entwickler von Open-Source-Java-Software ihren Code künftig automatisch auf Bugs überprüfen. Hinter dem Projekt stehen das Unternehmen Fortify Software sowie das "Findbugs"-Projekt der Universität von Maryland. Für die Durchforstung des Source-Codes zuständig sind eine Analyse-Software von Fortify sowie ein Tool des Findbugs-Projekts. Barmak Meftah, Vizepräsident für Produkte und Services bei Fortify, erklärte: "Jeder versteht, dass der günstigste und einfachste Zeitpunkt um Sicherheitslücken zu finden und zu beheben, derjenige vor der Implementation ist."
Die Source-Code-Analyse-Software von Fortify wird bereits von kommerziellen Unternehmen wie Oracle oder Adobe genutzt. Anders als bei der JOR-Version für Unternehmen erhalten Nutzer des kostenlosen Services nicht so detaillierte Analyse-Ergebnisse.
Die Analyse-Software findet laut Fortify Sicherheitsprobleme in über 120 Kategorien. Auf 40 dieser Kategorien geht die Software detailliert ein. Diese sollen dabei die wichtigsten Sicherheitsprobleme abdecken. Damit der Service nicht als Hacking-Tool missbraucht werden kann, sollen nur Mitglieder des Projekts Details zur Code-Analyse erhalten, so Meftah.
In den vergangenen sechs Wochen wurde JOR laut Meftah bereits bei einigen Open-Source-Projekten eingesetzt. Dabei wurden hunderte Bugs in Applikationen wie Tomcat, Zimbra und Jave Pet Store entdeckt. Ab sofort steht der Service jedem interessierten Java-Open-Source-Projekt zur Verfügung.
