Cookie Warning

This site uses cookies to help improve your experience

Please follow the link to find out more about cookies. Learn more

I understand
 

Common Weakness Enumeration (CWE) Secure Coding Standards Compliance

Nachweis für Common Weakness Enumeration (CWE) Secure Coding Standard (Allgemeiner Schwachstellenaufzählung-Standard)

Forschungen unter der Leitung des National Institute of Security Technology haben gezeigt, dass 64% der Softwareschwachstellen von Programmierfehlern herrühren. Um solche Schwächen zu identifizieren, die entscheidend zu den Softwareschwachstellen beitragen, wurde die Common Weakness Enumeration (CWE) Liste als Teil der strategischen Initiative zur Softwaresicherheit, die von der National Cyber Security des US Heimatschutzministeriums finanziell unterstützt wird, geschaffen. CWE wurde erzeugt um die Ängste von Organisationen zu zerstreuen, die Sicherheit bezüglich der Softwareprodukte,die sie erwerben und entwickeln, wollen. Sie sollen möglichst frei von bekannten Typen von Programmierfehlern sein. Das CWE Projekt zielt darauf ab Softwaredefekte besser zu verstehen und Werkzeuge zu entwickeln, die automatisiert solche Defekte erkennen, beheben und davor bewahren.

LDRA hat die Common Weakness Enumeration (CWE) Kompatibilität für die LDRA Werkzeugreihe erreicht. Damit können diese LDRA Werkzeuge dazu eingesetzt werden gemeinhin bekannte Programmierfehler zu identifizieren, die externe Angriffe auf die Software möglich machen. CWE Kompatibilität kennzeichnet die Möglichkeiten der statischen und dynamischen Analysewerkzeuge (LDRA Testbed, TBvision) Hilfestellung bei der Entwicklung sicherer Softwareanwendungen zu leisten.

CWE-kompatible Produkte und Dienstleistungen müssen die folgenden Kriterien erfüllen:

  • CWE suchbare Elemente – Anwender können nach Sicherheitselementen mittels CWE Identifizierern suchen
  • CWE Ausgabe – Sicherheitselemente, die Anwendern präsentiert werden schließen oder erlauben Anwendern die damit verbundenen CWE Identifizierer zu erhalten.
  • Abbildungsgenauigkeit – Sicherheitselemente führen genau zu den geeigneten CWE Identifizierern
  • CWE Dokumentation – Die Funktionsdokumentation beschreibt CWE, CWE Kompatibilität und wie die damit verknüpfte CWE Funktionalität verwendet wird.

CWE Secure Coding Standards Werkzeuge von LDRA

  • Das LDRA Testbed/TBvision bildet den Kern der Analysemaschine der LDRA Werkzeugreihe. Er führt die statische Analyse durch, die für die Erzwingung von Codierstandards notwendig ist und stellt die Ergebnisse der Analyse mit Rücksicht auf die zugrunde gelegten Codierstandards dar. Die LDRA Werkzeugreihe wird auf die CWE Codierregeln abgebildet um Schwachstellen im Code zu identifizieren, darauf zu verweisen und zu dokumentieren.
  • Das LDRA TBsecure Modul zeigt die Ergebnisse der Analyse für die zugrunde gelegten Sicherheitsstandards graphisch auf, macht eine Speicheranalyse und automatisiert die Nachweisdokumentation.
  • LDRArules ist ein kosteneffektives, eigenständiges Regelüberprüfungswerkzeug unabhängig von der LDRA Werkzeugreihe mit dem Hauptmerkmal, dass zur erhöhten Softwarequalität unbedingt der Nachweis gehört, dass die entwickelte Software geeigneten Codierstandards genügt. CWE ist ein solcher Standard und wird von LDRArules unterstützt.

LDRA bietet eine vollständige Transparenz bezüglich der Codierstandard-Unterstützung

Für jeden Codierstandard, den wir unterstützen bieten wir eine vollständige Nachweismatrix an, so dass Sie genau sehen können welche Regeln in unseren Werkzeugen implementiert sind. Es ist leicht für Sie den Nachweis für mehrere Versionen des Standards zu vergleichen. Sie können auch den Nachweis für mehrere Standards abschätzen.

Coding Standards::Creating a new Programming Standards Model with TBvision

  • A demo showing how to create a new programming standards model using TBvision. This example uses MISRA-C:2004 as a baseline and walks you through how to create your own user model.