Neu: Xyna GmbH für xyna.com, Kein Semgrep mehr auf GitHub
Xyna Bulletin #03
Liebe Kunden, Partner und Freunde,
in diesem Xyna Bulletin, live von der ANGA COM in Köln, wollen wir über Business und über Technik sprechen.
Zur Weiterentwicklung unserer Produkte Xyna Factory und xyna.com haben wir die Xyna GmbH ins Leben gerufen — wir berichten hier über ihre Organisationsstruktur und ihr Produktangebot.
Und für die Techniker erläutern wir, warum wir auf GitHub nicht weiter auf Semgrep setzen.
Zwei Tage ANGA COM haben wir noch vor uns — wer uns am Messestand besuchen möchte: wir freuen uns noch bis Donnerstagabend über Besuch an unserem Stand (Halle 7, G18).
Mit freundlichen Grüßen aus Mainz
Dr. Alexander Ebbes
CEO der Xyna GmbH
PS: Sie kennen Kolleg*innen, für die das Thema Xyna auch spannend ist? Dann gerne weitersagen! Eine kurze Antwort mit Kontaktdaten an bulletin@xyna.com reicht. Falls Sie aber kein Interesse haben, genügt eine kurze E-Mail zurück, und wir nehmen Sie aus dem Verteiler.
Neu: Xyna GmbH für xyna.com
Bisher wurden die Geschäfte rund um Xyna Factory und xyna.com durch die GIP Exyr GmbH umgesetzt und der GitHub-Auftritt interimsweise durch die GIP SmartMercial GmbH repräsentiert.
Inzwischen haben wir für alle Belange rund um unsere Produkte Xyna Factory und xyna.com eine dedizierte Gesellschaft, die Xyna GmbH, ins Leben gerufen. Die Xyna GmbH ist eine 100% Beteiligung der GIP AG und handelt als eigenständige, unabhängige Gesellschaft. Ihr Geschäftsführer ist Dr. Alexander Ebbes und als Prokurist wurde Philipp Dominitzki bestellt.
Das Produktportfolio umfasst unsere Software-Distributionen und Cloud-Services. Die Open-Open-Quellen von Xyna Factory finden sich wie gewohnt auf GitHub. Die unter dem Label xyna.com laufenden kommerziellen Angebote umfassen mit xyna.com Professional eine professionelle Distribution und den xyna.com Cloud-Services professionell gehostete Dienste.
Mit xyna.com Community Edition bieten wir eine kostenlose Einsteigerversion, um Xyna mühelos ausprobieren zu können — ohne eigene Ressourcen und Installationsaufwände. Damit wir den Prozess ein wenig kanalisieren können, benötigt man einen Voucher für den Zugriff auf die kostenfreie Variante von xyna.com. Das ist aber nur eine Formsache — bei Interesse reicht eine kurze E-Mail.
Kein Semgrep mehr auf GitHub
Semgrep ist ein beliebtes Tool zur statischen Codeanalyse (Static Application Security Testing SAST), das man sich auf GitHub und in Git-Repositories aktivieren kann. Semgrep untersucht eingecheckten Code unterschiedlicher Programmiersprachen auf bestimmte Muster, um daraus Hinweise auf mögliche Fehler, Anti-Pattern oder Sicherheitsrisiken abzuleiten.
Wir haben uns mit den Semgrep-Ergebnissen auf den Xyna Factory-Repositories intensiv auseinandergesetzt und sind zu dem Entschluss gekommen, die Analyse aus einer Reihe von Gründen wieder abzuschalten.
Semgrep kommt auf dem Xyna-Code offensichtlich nicht gut zurecht, die Menge an „False Positive“-Hinweisen beträgt nahezu 100%. Die gesamte XMOM-Datenhaltung mit Storables wird in ihrer Algorithmik nicht richtig interpretiert, so dass Semgrep Potentiale für SQL-Injection vermutet, die faktisch so nicht vorhanden sind. Darüber hinaus fehlt dem Tool der Überblick, um sicher zu bestimmen, wie sich Nutzereingaben auf Pfade von angefragten Dateien auswirken. Daher werden Dateizugriffe mit variablen Pfadanteilen als Problem markiert. Dritte große Quelle für falsch positive Alarme sind Interaktionen mit Keystores. Hier wird vom Tool ein hart kodiertes Passwort vermutet, obwohl dieses nicht im Code vorhanden ist.
Letztendlich sagt Semgrep von sich selbst, dass es nicht dazu diene, tatsächliche Probleme exakt zu identifizieren, sondern anhand von Pattern und heuristischen Ergebnissen versuche, aus bestimmten Konstruktionen Hinweise zu erzeugen. Das ist sicher auch eine grundsätzlich hilfreiche Vorgehensweise, die aber nicht bei jeder Art von Software gleichermaßen gut funktioniert.
Wir haben Hunderte Fälle betrachtet und konnten an keiner Stelle mit Hilfe der Semgrep-Hinweise eine relevante Sicherheitslücke in Xyna bestätigen. Bei einigen wenigen Ergebnissen könnte man über potenziell alternative Realisierungsmöglichkeiten diskutieren (was i.d.R. quasi bei jeder Art von Software und Implementierung möglich ist).
Generell sind wir uns unseres Qualitätsauftrags für Xyna Factory absolut bewusst. Es gibt wertvolle Tools auf der Welt, die wirklich dabei helfen, bessere und sicherere Software zu schreiben. Aber konkret die auf GitHub verfügbare Variante von Semgrep schadet in unserem Fall mit seiner Schwämme von „False Positives“ mehr, als es nutzt. Daher schalten wir es wieder ab.
Auch hier gilt: wer mehr wissen möchte, spricht uns gerne jederzeit an oder schickt uns eine E-Mail.