The intelligence of machines and the branch of computer science which aims to create it

Artificial Intelligence Journal

Subscribe to Artificial Intelligence Journal: eMailAlertsEmail Alerts newslettersWeekly Newsletters
Get Artificial Intelligence Journal: homepageHomepage mobileMobile rssRSS facebookFacebook twitterTwitter linkedinLinkedIn


Artificial Intelligence Authors: William Schmarzo, Ed Featherston, Dan Blacharski, Corey Roth, Jnan Dash

Related Topics: SSL Journal, Artificial Intelligence Journal, Java Developer Magazine, Open Source Journal, Dell News on Ulitzer, Android

News Feed Item

Fraunhofer SIT: Autocorrezione per sviluppatori di software

Fraunhofer SIT ha pubblicato uno scanner di vulnerabilità per Android, che consente agli sviluppatori di app di individuare e chiudere automaticamente una lacuna nella sicurezza SSL che si verifica spesso. Il software è scaricabile gratuitamente su https://sit.sit.fraunhofer.de/eclipse/howto-ssl/ ed è stato sviluppato presso l'European Center for Security and Privacy by Design (EC SPRIDE) a Darmstadt, finanziato dal Ministero federale per l'istruzione e la ricerca. Gli scienziati dell'EC SPRIDE sviluppano nuovi strumenti di testing per codici Android e Java che utilizzano tecniche innovative di analisi e sono integrabili direttamente in contesti di sviluppo. Gli strumenti consentono anche la rapida rilevazione di errori solitamente difficili da individuare nel codice di programmazione. Fraunhofer SIT presenterà gli strumenti e le procedure al CeBIT che si terrà a Hanover dal 10 al 14 marzo, presso il proprio stand, E40, nel padiglione 9.

Molte vulnerabilità della sicurezza sono il risultato di semplici errori di programmazione che, a causa della complessità sempre maggiore dei prodotti software, stanno diventando sempre più difficili da evitare. Il software spesso consiste di varie parti di programmi, talvolta scritti da diversi team di sviluppo. I programmatori non riescono più a comprendere totalmente l'interazione dei diversi componenti software. Ecco il motivo per cui oggi le software house utilizzano strumenti che consentono di testare automaticamente il codice di programmazione. I tradizionali scanner di vulnerabilità, tuttavia, utilizzabili dal proprio personal computer, sono spesso limitati alla rilevazione di semplici errori, mentre gli errori complessi sono quelli difficili da individuare ed evitare. Per rilevare queste complesse vulnerabilità della sicurezza nel codice di programmazione, in passato le software house dovevano fare esaminare il proprio codice da società esterne, quali ad esempio costosi servizi di testing realizzati all'estero. Spesso, però, le aziende ricevono i risultati con notevole ritardo e quando viene segnalato un problema, gli sviluppatori probabilmente stanno già lavorando a qualcosa di completamente diverso.

Pertanto, il Prof. Dr. Eric Bodden di Fraunhofer SIT e il suo team presso il centro di sicurezza cibernetica EC SPRIDE hanno sviluppato un efficiente sistema di analisi e l'hanno integrato negli strumenti di testing. Questi nuovi scanner di vulnerabilità sono utilizzabili su semplici computer, ma sono più potenti dei costosi servizi analitici esterni e individuano un maggior numero di errori complessi in minor tempo. Gli strumenti di analisi dei ricercatori di Darmstadt spesso producono risultati perfino nell'arco di millisecondi. Questo è possibile grazie alle nuove tecniche analitiche in grado di esaminare rapidamente interazioni anche complesse all'interno del codice. "Lo sviluppo sicuro del software è proprio come un labirinto", dichiara Bodden; "è molto facile prendere la svolta sbagliata ma molto difficile trovare il percorso giusto. Ecco perché le aziende utilizzano gli strumenti di testing per raggiungere il proprio obiettivo nel modo più rapido possibile. Ma gli strumenti convenzionali consentono agli sviluppatori solo di dare uno sguardo dietro l'angolo, mentre grazie ai nostri strumenti, potranno vedere i prossimi dieci angoli". Le tecniche di analisi sono utilizzabili con vari linguaggi di programmazione e sono ottimizzabili per specifiche operazioni.

L'attuale sistema analitico supporta analisi molto complesse di flussi di dati. Un modo più semplice ma molto pertinente nella pratica è lo scanner per le vulnerabilità SSL, ora pubblicato. Si tratta di un plug-in Eclipse che i programmatori possono implementare facilmente in ambienti di sviluppo tipici. Lo strumento di testing aiuta gli sviluppatori di app a rilevare le implementazioni difettose del protocollo SSL (Secure Socket Layer) nel codice Android ed è utilizzabile gratuitamente come software open source. La gravità del problema SSL nelle app è stata dimostrata l'anno scorso, quando Fraunhofer SIT ha individuato errori in una grande quantità di app che comportavano parzialmente rischi notevoli per gli utenti.

Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l'unico giuridicamente valido.

More Stories By Business Wire

Copyright © 2009 Business Wire. All rights reserved. Republication or redistribution of Business Wire content is expressly prohibited without the prior written consent of Business Wire. Business Wire shall not be liable for any errors or delays in the content, or for any actions taken in reliance thereon.