Die Sicherheit von Computersystemen ist massgeblich von der korrekten und gewünschten Funktionsweise der jeweiligen Computerprogramme abhängig. Eine Software wird dabei in Form eines Quelltexts durch den jeweiligen Programmierer geschrieben, um danach mittels Kompilierung oder Interpretation auf einem Rechner ausgeführt zu werden. Durch das systematische Analysieren des Quelltexts der jeweiligen Programme sollen Schwachstellen und Sicherheitslücken frühzeitig ausgemacht und adressiert werden können.

Mein Buch mit dem simplen Arbeitstitel "Source Code Analysis" (SCA) will diese klassische Disziplin der Informatik in pragmatischer Weise diskutieren. Dabei sollen auf die ansonsten in akademischer Literatur üblichen mathematischen Beweisführung weitestgehend verzichtet werden, um technisch effiziente und wirtschaftlich rechtfertigbare Lösungsansätze erarbeiten zu können. Hierbei soll weitestgehend die grundlegende Nachvollziehbarkeit und Transparenz der akademischen Ansätze beibehalten oder wenigstens kalkuliert eingebüsst werden.

Es richtet sich damit an Leute, die grundlegendes oder fortgeschrittenes Wissen zur Programmierung haben, sich aber noch nie damit auseinandergesetzt haben, wie Code in systematischer Weise auf Sicherheitslücken hin untersucht werden kann. Die Systematik soll dabei absichtlich nicht dem Level entsprechen, welches im Informatik-Studium auf Papier beübt wird. Die Wirtschaftlichkeit der Ansätze ist genauso wichtig, denn schlussendlich soll das Ganze nicht nur ein Gedankenspiel sondern ein konkreter Lösungsansatz sein.

Ich möchte dabei nicht so theoretisch und akademisch sein wie "Principles of Program Analysis" von Nielson und Hankin, nicht so ungeordnet und historisch wie "Advanced Programming Language Design" von Finkel, nicht so entwicklungsbezogen wie "Building Secure Software" von Viega und nicht so unsystematisch und oberflächlich wie "Exploiting Software: How to Break Code" von Hoglund und McGraw. Am ehesten wird es wohl in die Richtung von "Code Reading" von Spinellis sowie "Why Programs Fail: A Guide to Systematic Debugging" von Zeller gehen, wenn auch ich den Schwerpunkt viel mehr auf Security legen und mehr die (aussagelogische) Beweisbarkeit von "Principles of Program Analysis" einbringen möchte.

Das Buch befindet sich in einem sehr frühen Stadium. Details zum Inhalt sind, abgesehen von den auf dieser Seite genannten Informationen, nicht weiter bekannt. Als Erscheinungsdatum ist das Jahr 2013 vorgesehen. Ein Verlag, der das Buch auflegen wird, ist ebenfalls noch nicht bestimmt. Weitere Details zur Arbeit und dem Verlauf dieser werden in Zukunft hier zusammengefasst werden.