BSI deckt schwerwiegende Sicherheitslücken in Matrix und Mastodon auf
BSI deckt schwerwiegende Sicherheitslücken in Matrix und Mastodon auf
Im Rahmen einer Open-Source-Codeanalyse hat das BSI den Messenger Matrix und die Social-Media-Anwendung Mastodon auf kritische Schwachstellen untersucht.
Sowohl bei Mastodon als auch bei Matrix konnten die Prüfer keine Hinweise auf ein strukturiertes, toolgestütztes Vorgehen zur regelmäßigen Identifikation und Korrektur von Schwachstellen finden. Die relativ große Menge an Code-Duplizierungen per Copy-and-Paste deuteten zudem auf teilweise chaotisch "gewachsene", unaufgeräumte Projekte hin.
Das klingt gar nicht gut. Eigentlich sollte es doch mittlerweile genügend Funding geben, um zumindest die Standard-Scanner drüberlaufen zu lassen.
Die relativ große Menge an Code-Duplizierungen per Copy-and-Paste
Puh, wie kann das denn bei einem größeren Open Source - Projekt passieren. Das ist schon echt übel.
Was wären so die Standard Scanner?
Ich hasse diese Tool zwar aber eines solcher Scanner wäre Sonarqube bzw. Sonarlint.
Und ich hasse es aktuell so sehr weil es meint ich hätte in meinem Code Duplikationen obwohl da nichts gleich ist, noch nicht einmal die Stellen die das Tool anmeckert hat irgendeine Relevanz.
wir benutzen in der Firma "Snyk" und "Blackduck"