Statische Codeanalyse (SAST) von Open Source Software
Sicherheit von Nextcloud für das BSI analysiert
Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir die Open-Source-Anwendung Nextcloud mit den Mitteln der Statischen Codeanalyse sowie der Durchführung dynamischer Analysen (Pentests) auf deren Sicherheit untersucht. Dabei wurde eine Schwachstelle mit erhöhtem, sowie drei Schwachstellen mit mittlerem Gefahrenpotential entdeckt. Zusammen mit mehreren weiteren sicherheitsrelevanten Probleme wurden diese den Entwicklern sofort gemeldet und größtenteils behoben wurden. Das Projekt zielt darauf ab, die Sicherheit populärer Open-Source-Software zu verbessern, insbesondere für Anwendungen, die von Behörden oder Privatanwendern genutzt werden.
Die Analyse wurde im Frühjahr/Sommer 2024 durchgeführt und am 06.02.2025 veröffentlicht.
Bericht des BSI
BSI untersucht Open Source Nextcloud
Artikel auf Heise Online:
BSI-Analyse zeigt: Nextcloud Server speicherte Passwörter im Klartext
Weitere Sicherheitsanalysen
Application Security und Secure Coding
LAS - Lean Application Security
Ein erprobtes Konzept für inhärent sichere Anwendungen und Systeme durch frühzeitige Einbindung von Sicherheit in den Softwareentwicklungsprozess.
ATLAS - Security Testing Platform
mgm ATLAS ist die effiziente Integration von automatisierten Tests in Entwicklungsprozesse. Es ergänzt unseren Lean Application Security Ansatz optimal um eine schlanke und skalierbare Testplattform.
