Statische Codeanalyse (SAST) von Open Source Software
Sicherheit von Vaultwarden und Keepass für das BSI analysiert
Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir die Open-Source-Anwendungen Vaultwarden und Keepass mit den Mitteln der Statischen Codeanalyse sowie der Durchführung dynamischer Analysen (Pentests) auf deren Sicherheit untersucht. Dabei wurden bei Vaultwarden zwei Schwachstellen mit erhöhtem Gefahrenpotential und mehrere weitere sicherheitsrelevante Probleme entdeckt, die den Entwicklern sofort gemeldet und größtenteils behoben wurden. Bei Keepass wurden ebenfalls einige, wenn auch weniger schwerwiegende, Sicherheitsprobleme festgestellt. Das Projekt zielt darauf ab, die Sicherheit populärer Open-Source-Software zu verbessern, insbesondere für Anwendungen, die von Behörden oder Privatanwendern genutzt werden. Die Initiative wird mit weiteren Open-Source-Anwendungen fortgesetzt.
Die Analyse wurde im Frühjahr/Sommer 2024 durchgeführt und am 14.10.24 veröffentlicht.
Siehe auch
Bericht des BSI:
BSI untersucht Open Source Software KeePass und Vaultwarden
Artikel auf Heise Online:
BSI: Forscher finden teils kritische Schwachstellen in Passwort-Managern
Weitere Sicherheitsanalysen
Unser Vorgehen zur Statischen Codeanalyse
Kontakt
Application Security und Secure Coding
LAS - Lean Application Security
Ein erprobtes Konzept für inhärent sichere Anwendungen und Systeme durch frühzeitige Einbindung von Sicherheit in den Softwareentwicklungsprozess.
ATLAS - Security Testing Platform
mgm ATLAS ist die effiziente Integration von automatisierten Tests in Entwicklungsprozesse. Es ergänzt unseren Lean Application Security Ansatz optimal um eine schlanke und skalierbare Testplattform.
