SNTI SOFWARE SECURITY ANALYSIS Evaluasi Flawfinder dan ITS4 pada Source Code C/C++

Tanggal

2009-10-24

Penerbit

Seminar Nasional Teknologi Informasi (SNTI)

Abstraksi

Source code yang dibuat dalam bahasa pemograman C/C++ setelah di-compiler tidak bermasalah. Tetapi sebenarnya perlu diketahui apakah source code tersebut sudah tidak memiliki kelemahan pada fungsi-fungsi yang dipakai dalam source code. Hal ini berkaitan dengan keamanan dari software yang dibuat oleh pengembang software. Evaluasi keamanan software dapat dilakukan dengan menggunakan automatic auditing tools. Dua tools yang dapat digunakan untuk review source code berbahasa C/C++ adalah Flawfinder version 1.27 dan ITS4 version 1.1.1. Perlu dievaluasi apakah Flawfinder dan ITS4 dapat digunakan dalam melakukan review source code berbahasa C. Evaluasi dilakukan dengan cara melakukan pengujian tools terhadap 10 source code berbahasa C/C++ yang tidak bermasalah dari sisi compiler dengan total jumlah baris (line) sebanyak 575 baris. Pengujian dilakukan untuk mengumpulkan, mengolah, menyajikan dan menganalisis hit@level dan jenis-jenis ancaman dari hasil review source code flawfinder dan ITS4. Selanjutnya dapat disimpulkan perbedaan dari kedua tools tersebut berdasarkan pola pencarian yang terlihat. Analisa terhadap hasil testing dari dua tools diperoleh bahwa Flawfinder menunjukkan jumlah Software Security Warning (SSW) lebih banyak dari ITS4. Dari persepsi warning dangerous, banyak warning yang ditunjukkan Flawfinder berada pada level low risk dan moderate risk, sedangkan ITS4 lebih banyak pada level low risk. Dari semua source code jenis ancaman yang ditemukan Flawfinder maupun ITS4 adalah buffer overflows.

Source code yang dibuat dalam bahasa pemograman C/C++ setelah di-compiler tidak bermasalah. Tetapi sebenarnya perlu diketahui apakah source code tersebut sudah tidak memiliki kelemahan pada fungsi-fungsi yang dipakai dalam source code. Hal ini berkaitan dengan keamanan dari software yang dibuat oleh pengembang software. Evaluasi keamanan software dapat dilakukan dengan menggunakan automatic auditing tools. Dua tools yang dapat digunakan untuk review source code berbahasa C/C++ adalah Flawfinder version 1.27 dan ITS4 version 1.1.1. Perlu dievaluasi apakah Flawfinder dan ITS4 dapat digunakan dalam melakukan review source code berbahasa C.


Evaluasi dilakukan dengan cara melakukan pengujian tools terhadap 10 source code berbahasa C/C++ yang tidak bermasalah dari sisi compiler dengan total jumlah baris (line) sebanyak 575 baris. Pengujian dilakukan untuk mengumpulkan, mengolah, menyajikan dan menganalisis hit@level dan jenis-jenis ancaman dari hasil review source code flawfinder dan ITS4. Selanjutnya dapat disimpulkan perbedaan dari kedua tools tersebut berdasarkan pola pencarian yang terlihat.


Analisa terhadap hasil testing dari dua tools diperoleh bahwa Flawfinder menunjukkan jumlah Software Security Warning (SSW) lebih banyak dari ITS4. Dari persepsi warning dangerous, banyak warning yang ditunjukkan Flawfinder berada pada level low risk dan moderate risk, sedangkan ITS4 lebih banyak pada level low risk. Dari semua source code jenis ancaman yang ditemukan Flawfinder maupun ITS4 adalah buffer overflows.

Kata Kunci: Flawfinder, ITS4, review source code, software security, buffer overflow

URI
-

Bidang ilmu
Sistem Informasi

References

1.    Persson D, Baca.D (2004), Software Security Analysis - Managing source code audit, URL http://www4.informatik.uni-erlangen.de/z/Lehre/SS08/

2. Jaminan Keamanan Pada Pengembangan Software (2008), http://one.indoskripsi.com/judul-skripsi-tugas-makalah/keamanan-sistem-lanjut/jaminan-keamanan-pada-pengembangan-software

3.    Modul Bahasa C++ (2007), STMIK Nusa Mandiri. Jakarta

4.    ITS4 (2008),http://seclab.cs.ucdavis.edu/projects/testing/tools/its4.html

5.    Flawfinder (2008), URL http://www.dwheeler.com/flawfinder/

6.    Russell R. and Cunningham S. (2000), Hack Proofing Your Network: InternetTradecraft, Rockland, MA: Syngress Media, ISBN: 1-928994-15-6

7.    Seacord, RC (2008) Pointer Subterfuge Secure Coding in C and C++, URL:https://scele.cs.ui.ac.id/

8.    Flawfinder results (2008), file:///C:/cygwin/home/flawfinder-1.27/flawfinder-1.27/test-results.html