Sicherheitslücken finden mit „Google Code“

Kaum hat Google sein neuestes Produkt Google Code zum Durchsuchen von frei verfügbarem Quelltext zahlreicher Programmiersprachen vorgestellt, hat sich das Suchen von Sicherheitslücken damit als durchaus effektiv erwiesen.

Mit bestimmten Anfragen kann man nach Code-Mustern suchen, die auf Sicherheitslücken hindeuten. Darunter beispielsweise das ungefilterte Verwenden von Eingabedaten in Datenbankanfragen, was eine klassische SQL Injection-Sicherheitslücke ist. Zahlreiche Sicherheitslücken vom Typ Cross-Site Scripting (XSS) lassen sich durch Verwendung von Suchmustern finden, die Eingabedaten ungefiltert ausgeben.

Zwar ist es je nach verwendetem Suchmuster fast unvermeidlich, dass sich unter den Ergebnissen auch einige False Positives – also vermeintliche Sicherheitslücken, die bei genauerer Betrachtung dann noch keine sind – befinden. Doch je nachdem was der findige Anwender mit den Suchergebnissen anstellt, kann Google Code für Projekte mit frei verfügbarem Quellcode nichtsdestotrotz ein Segen oder ein ernstzunehmendes Problem sein.