25C3: code audit einmal anders

Highlight gestern war der Talk Short Attention Span Security. Ben hat unter anderem auf eine sehr interessante Möglichkeit für code audits hingewiesen. Normalerweise ist die Zeit für eine tiefgreifende Analyse zu knapp. Man setzt sich also hin und grept den Code nach problematischen Statements durch oder schaut nach, was gcc auf dem höchsten Warninglevel ausspuckt.
Ben hat auf Dehydra hingewiesen. Damit kann man den abstract syntax tree von C++ in Javascript (!) analysieren. Man scriptet sich also zu den problematischen Stellen durch und macht sie auf diese Art und Weise sichtbar (signed/unsigned Zuweisungen ect…). Ok, das sagt einem auch der Compiler, aber die Möglichkeiten sind ja unbegrenzt. Ben hat vorgschlagen ein öffentliches Repository einzurichten, in dem Script-Snippets gespeichert werden, die jeweils eine bestimmte Schwachstelle aufdecken. So könnten alle Leute viel Zeit sparen. Coole Idee 🙂

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.