Statische Codeanalyse (SAST) von Open Source Software
Im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) haben wir die Open-Source-Anwendung Nextcloud mit den Mitteln der Statischen Codeanalyse sowie der Durchführung dynamischer Analysen (Pentests) auf deren Sicherheit untersucht. Dabei wurde eine Schwachstelle mit erhöhtem, sowie drei Schwachstellen mit mittlerem Gefahrenpotential entdeckt. Zusammen mit mehreren weiteren sicherheitsrelevanten Problemen wurden diese den Entwicklern sofort gemeldet und größtenteils behoben wurden. Das Projekt zielt darauf ab, die Sicherheit populärer Open-Source-Software zu verbessern, insbesondere für Anwendungen, die von Behörden oder Privatanwendern genutzt werden.
Die Analyse wurde im Frühjahr/Sommer 2024 durchgeführt und am 06.02.2025 veröffentlicht.
Bericht des BSI
Artikel auf Heise Online
Weitere Sicherheitsanalysen
