Support

Juni 10, 2025

Azul bringt Java-Sicherheitsanalyse mit 100- bis 1000-fach höherer Genauigkeit auf den Markt

München / Sunnyvale, Kalifornien, 10. Juni 2025 – Azul, das einzige Unternehmen, das sich zu 100 Prozent auf Java fokussiert, stellt eine Erweiterung seiner Plattform Azul Intelligence Cloud vor: eine neue Funktion in Azul Vulnerability Detection, die Sicherheitslücken in Java-Anwendungen mit einem neuen Level an Präzision erkennt. Herkömmliche AppSec- oder APM-Tools (Application Performance Monitoring) identifizieren Schwachstellen auf Basis von Dateinamen oder SBOM-Daten (Software Bill of Materials), was häufig zu einer Flut an Fehlalarmen führt. Im Gegensatz dazu arbeitet Azul Vulnerability Detection mit produktiven Laufzeitdaten auf Klassenebene. So werden ausschließlich tatsächlich genutzte Codepfade analysiert, wodurch sich die Zahl der Fehlalarme im Vergleich zu anderen Lösungen um den Faktor 100 bis 1.000 reduziert. DevOps-Teams können so reale Risiken gezielter priorisieren und beheben, die Sicherheitslage verbessern und die Entwicklerproduktivität deutlich steigern.

DevOps-Teams brauchen Präzision statt Alarmflut bei der Erkennung von Java-Sicherheitslücken

Viele Unternehmen kämpfen mit einer Flut an Sicherheitswarnungen im Zusammenhang mit Java. Laut dem Azul 2025 State of Java Survey & Report geben 33 Prozent der befragten Organisationen an, dass mehr als die Hälfte der Zeit ihrer DevOps-Teams durch das Nachverfolgen von Fehlalarmen zu Java-bezogenen Schwachstellen (Common Vulnerabilities and Exposures, CVEs) verloren geht. Herkömmliche AppSec-Tools melden CVEs in Drittanbieter-Komponenten, die in Java-Anwendungen eingebettet sind – unabhängig davon, ob diese Komponenten in der Produktion tatsächlich genutzt werden oder lediglich vorhanden sind. Dieser undifferenzierte Ansatz überlastet Teams mit irrelevanten Warnungen, erschwert die Priorisierung und mindert die Produktivität.

Java-Komponenten wie Log4j bestehen aus JAR-Dateien (Java ARchives), die wiederum zahlreiche Klassen enthalten. Es ist daher durchaus möglich, dass eine als verwundbar markierte Komponente zwar vorhanden oder sogar genutzt wird, aber der tatsächlich gefährdete Code innerhalb einer bestimmten Klasse nie ausgeführt wird – und damit gar kein echtes Risiko für die Anwendung darstellt. Um Kapazitäten im DevOps-Team zurückzugewinnen und die Produktivität zu steigern, braucht es eine Lösung, die auf Klassenebene erkennt, welcher Code in der Produktion tatsächlich verwendet wird. So lassen sich Sicherheits-Patches gezielt auf wirklich risikobehaftete Komponenten konzentrieren und unnötige Fehlalarme vermeiden.

Azul Intelligence Cloud erkennt tatsächlich gefährdeten Java-Code und reduziert Fehlalarme um bis zu 99Prozent

Die Azul Intelligence Cloud ist eine cloudbasierte Analyseplattform, die produktive Java-Laufzeitdaten in verwertbare Erkenntnisse umwandelt und so die Produktivität von Entwicklerteams signifikant steigert. Die Funktion Vulnerability Detection identifiziert und priorisiert bekannte Sicherheitslücken in Java-Anwendungen im laufenden Betrieb mit einer 100- bis 1.000-fach höheren Genauigkeit als herkömmliche AppSec- oder APM-Tools. Grundlage ist eine kuratierte Wissensdatenbank, die CVEs auf tatsächlich zur Laufzeit genutzte Klassen abbildet. So lassen sich verwundbare Komponenten gezielt priorisieren und beheben sowie bis zu 99 Prozent der Fehlalarme vermeiden, was die Effizienz in DevOps-Teams deutlich erhöht.

Ein aktuelles Beispiel ist die als „kritisch“ eingestufte Sicherheitslücke CVE-2024-1597 in bestimmten 42.x-Versionen des PostgreSQL-Java-Treibers pgjdbc. Die Schwachstelle ermöglicht potenziell SQL-Injection-Angriffe und erreicht einen CVSS-Score von 9,8 von 10. Sie tritt jedoch nur unter spezifischen, nicht standardmäßigen Nutzungsszenarien auf. Klassische AppSec-Tools schlagen dennoch Alarm, sobald die betroffene Komponente vorhanden ist – selbst wenn sie gar nicht oder nur im sicheren Standardmodus verwendet wird. Das führt zu unnötigen Warnungen und bindet Entwicklerressourcen für nicht relevante Code-Passagen. Azul Vulnerability Detection hingegen analysiert zur Laufzeit, ob eine oder mehrere der 11 durch die CVE betroffenen Java-Klassen – von insgesamt 470 Klassen in der Komponente – tatsächlich produktiv genutzt werden. Diese präzise Analyse reduziert Fehlalarme drastisch und verbessert die Sicherheitseinschätzung maßgeblich.

„Die erweiterten Funktionen von Vulnerability Detection stärken das Leistungsprofil der SaaS-Analyseplattform Intelligence Cloud von Azul: Sie helfen dabei, die Produktivität von DevOps-Teams zu steigern und Entwicklerkapazitäten zurückzugewinnen, indem der Aufwand für Fehlalarme und ineffizientes Triage-Management deutlich reduziert wird“, sagt William Fellows, Research Director bei 451 Research, einem Unternehmen von S&P Global Market Intelligence.[1]

Azul Vulnerability Detection entfaltet seinen Nutzen unternehmensweit über alle Java-Anwendungen hinweg mit mehreren zentralen Vorteilen:

  • Effizientes Triage-Management neuer Schwachstellen: Die Lösung ermöglicht eine kontinuierliche, echtzeitbasierte Erkennung von Sicherheitslücken in produktiven Java-Anwendungen. DevOps-Teams können dadurch kritische Schwachstellen schneller identifizieren, priorisieren und beheben – insbesondere bei sicherheitsrelevanten Vorfällen mit hoher Tragweite wie Log4j. Das reduziert den Aufwand für Fehlalarme deutlich, minimiert operative Störungen und schafft Freiräume für strategisch wichtigere Aufgaben.
  • Echtzeit- und rückblickende Analyse, unterstützt durch KI: Azul Vulnerability Detection speichert die Nutzungsverläufe von Komponenten und Code und ermöglicht so eine gezielte forensische Analyse. Sicherheitsverantwortliche können dadurch etwa prüfen, ob eine Schwachstelle bereits ausgenutzt wurde, bevor sie überhaupt bekannt war. Die Lösung erkennt kontinuierlich bekannte Sicherheitslücken und dokumentiert präzise, welcher Code in der Produktion tatsächlich verwendet wird. So lassen sich begrenzte personelle Ressourcen effizienter einsetzen. Dabei kommt auch Künstliche Intelligenz zum Einsatz: Das Vulnerability-Team von Azul nutzt KI-gestützte Verfahren, um Java-spezifische CVEs aus der National Vulnerability Database (NVD) und anderen Quellen schnell zu identifizieren und die Wissensdatenbank von Azul Vulnerability Detection laufend mit neuen Bedrohungen zu aktualisieren.
  • Produktions-Monitoring für Oracle JDK und alle OpenJDK-basierten JVMs: Azul Vulnerability Detection nutzt Laufzeitdaten aus der Produktion – unabhängig davon, ob Anwendungen auf dem Oracle JDK oder einer OpenJDK-basierten JVM betrieben werden. Unterstützt werden alle gängigen Distributionen, darunter Azul, Amazon Corretto, Eclipse Temurin, Microsoft, Red Hat und viele weitere. Das trägt zur Effizienzsteigerung in DevOps-Teams bei.
  • Keine Performance-Einbußen im laufenden Betrieb: Die Lösung greift auf bestehende Java-Laufzeitdaten innerhalb der JVM zu, ohne die Anwendung selbst zu beeinflussen. Dadurch entstehen keinerlei Performance-Verluste – ein entscheidender Vorteil gegenüber anderen Tools, die teils tief in die Ausführung eingreifen müssen.

„Unsere Mission ist es, Unternehmen dabei zu unterstützen, ihre Sicherheitsmaßnahmen auf das Wesentliche zu konzentrieren: auf echte Risiken statt auf Störgeräusche“, erklärt Scott Sellers, Co-Founder und CEO von Azul. „Indem wir bis zu 99 Prozent der Fehlalarme eliminieren und Schwachstellen in Java-Anwendungen mit 100- bis 1000-fach höherer Genauigkeit als herkömmliche Tools identifizieren, ermöglicht die Azul Intelligence Cloud eine signifikante Entlastung von DevOps- und Security-Teams. So können sie Warnmeldungen drastisch reduzieren, reale Risiken gezielt priorisieren und Schwachstellen deutlich schneller beheben – und das ganz ohne Performance-Verluste oder Einschränkungen bei der Innovationsgeschwindigkeit.“

Weiterführende Links:

Über Azul

Azul bietet die Java-Plattform für das moderne Cloud-Unternehmen und ist das einzige Softwareunternehmen, das sich zu 100 Prozent auf Java konzentriert. Millionen von Java-Entwicklern und die weltweit angesehensten Unternehmen mit hunderten Millionen Geräten vertrauen auf den Java-Experten mit Hauptsitz in Sunnyvale, Kalifornien, um ein hohes Maß an Funktionalität, Performance, Sicherheit sowie den Mehrwert und Erfolg ihrer Anwendungen sicherzustellen. Zu den Kunden von Azul zählen 36 Prozent der Fortune 100, die Hälfte der Forbes Top 10 World’s Most Valuable Brands, die komplette weltweite Top 10 der Finanzhandelsunternehmen sowie führende Marken wie Avaya, Bazaarvoice, BMW, Credit Suisse, Deutsche Telekom, LG, Mastercard, Mizuho, Priceline, Salesforce, Software AG und Workday.

Erfahren Sie mehr unter www.azul.com/de/ und folgen Sie uns auf @azulsystems.

 

#   #   #

Pressekontakt:

Akima Media

Daniela Fichtl / Philipp Wilhelm
Hofmannstraße 54
81379 München
Telefon: + 49 89 17959 18-0
E-Mail: [email protected]

[1] 451 Research, part of S&P Global Market Intelligence, “Azul Systems deepens its Java vulnerability expertise with class-level detection,” June 2022