Direkt zum Inhalt
Logo für GIGAOM 365x70

Sehen Sie, welche API-Testlösung im GigaOm Radar Report am besten abgeschnitten hat. Holen Sie sich Ihren kostenlosen Analystenbericht >>

Zurück zu den Blog-Ergebnissen

Alles über CWE: Aufzählung allgemeiner Schwächen

Headshot of Ricardo Camacho, Director of Safety & Security Compliance
By
12. August 2021
5 min lesen

Oberflächlich betrachtet beschäftigt sich Common Weakness Enumeration (CWE) mit Schwachstellenkategorien in Software und Hardware. Sehen Sie sich diesen Beitrag an, um ein umfassendes Verständnis von Schwachstellen aus der CWE-Perspektive zu erhalten, einschließlich der Bewertung gängiger Schwachstellen und wie Schwachstellen gemessen werden.

Zurück zu den Blog-Ergebnissen

Bei der Cybersicherheit dreht sich alles um Minderung und Prävention CWE oder allgemeine Schwachstellenaufzählung. Die Mitre Corporation unterhält das CWE-Kategoriesystem, das die verschiedenen Schwachstellen katalogisiert.

Es arbeitet mit der US National Vulnerability Database (NVD) zusammen – der Sammlung von Daten zum Schwachstellenmanagement basierend auf Standards, die von der Bundesregierung betrieben werden. Das NIST oder National Institute of Standards and Technology beaufsichtigt die NVD. OWASP, das gemeinnützige und Open Source Open Web Application Security Project®, arbeitet ebenfalls eifrig daran, die Sicherheit von Web-Informationen zu stärken.

In diesem Blog besprechen wir alles, was Sie wissen müssen, um Softwareschwächen und allgemeine Cybersicherheit in der Softwareentwicklung zu verstehen. Darüber hinaus wird erläutert, wie man sie am besten verwendet. Wie bei allem müssen wir mit den Grundlagen beginnen und von dort aus detaillierter werden. Dieser Blog behandelt:

  1. Was ist CWE in Sachen Sicherheit?
  2. Was ist CWE-Software?
  3. Wie viele CWE gibt es?
  4. Welche Bedingungen machen Sie angreifbar?
  5. Was sind Beispiele für Schwachstellen?
  6. Wie messen wir Verwundbarkeit?
  7. Was ist ein allgemeines Schwächenaufzählungs-Scoring?
  8. Was ist CWE oder CVE?

Was ist CWE?

Es gibt viele Akronyme in jeder Branche, aber CWE ist ein großes Unternehmen für Softwaresicherheit. Statische Analyse- und Sicherheitstools müssen durch das Wissen unterstützt werden, wonach zu suchen ist und wie man sich dem idealen Risikoniveau für Ihr Projekt annähert.

CWE ist bestrebt, das Schwachstellenmanagement schlanker und zugänglicher zu machen. Der von der Community entwickelte Katalog weist Hardware- und Software-Schwächen auf und wird als „eine gemeinsame Sprache, ein Maßstab für Sicherheitstools und eine Grundlage für die Identifizierung von Schwachstellen, Minderung und Präventionsmaßnahmen“ beschrieben.

Wem gehört CWE?

Wie bereits erwähnt, besitzt und unterhält die Mitre Corporation die CWE. Sie verwalten auch FFRDCs oder staatlich finanzierte Forschungs- und Entwicklungszentren für das US-Heimatschutzministerium sowie Behörden in den Bereichen Gesundheitswesen, Luftfahrt, Verteidigung und natürlich Cybersicherheit.

Das CWE-Liste stellt häufige Schwachstellen und Gefährdungen zusammen, die Programmierern und Softwareentwicklern dabei helfen können, die Informationssicherheit aufrechtzuerhalten. Schließlich ist die Einhaltung von Sicherheitsrichtlinien während des gesamten Entwicklungslebenszyklus viel einfacher zu handhaben als Strategien nach einem Verstoß.

Wie viele CWEs gibt es?

Es gibt nur einen CWE, der von der Mitre Corporation verwaltet wird. Diese Liste enthält jedoch mehr als 600 Kategorien. Die neueste Version (3.2) wurde im Januar 2019 veröffentlicht.

Was ist CWE-Software?

Die Kategorien für CWE reichen von allem wie SEI CERT Oracle Coding Standard for Java bis hin zu Schwächen ohne Softwarefehlermuster. Zum Glück haben die Taxonomie, Organisation und Zugänglichkeit der Kategorien einen sehr hohen Stellenwert.

Der Katalog verwendet ein nummeriertes System unter den drei Hauptbereichen der Anfälligkeit:

AnzeigenFunktion
Software-EntwicklungKonzepte werden nach Häufigkeit der Begegnung oder Verwendung in der Quellcodeentwicklung gruppiert.
Hardware-DesignHäufig gesehene oder verwendete Schwächen im Hardwaredesign werden zusammengefasst.
ForschungskonzepteUm die Erforschung häufiger Probleme zu erleichtern, werden die Items nach ihrem Verhalten gruppiert.

Zum Beispiel CWE-89 befasst sich mit dem Auftreten von SQL-Injection-Fehlern, enthält aber auch Links zu hilfreichen CWE-Abschnitten, um Sicherheitslücken weiter abzuschwächen.

CWE vs. CVE

CVE ist ein Akronym für Common Vulnerabilities and Exposures. Kurz gesagt: Der Unterschied zwischen CVE und CWE besteht darin, dass einer die Symptome behandelt, während der andere eine Ursache behandelt. Wenn die CWE Arten von Software-Schwachstellen kategorisiert, ist die CVE einfach eine Liste der derzeit bekannten Probleme in Bezug auf bestimmte Systeme und Produkte.

US-CERT sponsert das Projekt, wobei Mitre es auch beaufsichtigt. Die Aufrechterhaltung der Sicherheitskontrolle für Software Assurance kann CVE nutzen, ist jedoch nicht so integral wie CWE. Es ist jedoch problemlos CWE-kompatibel – eine Funktionalität, die von Mitre gewährleistet wird.

Welche Bedingungen machen Sie verwundbar?

Das Identifizieren der gefährlichsten Sicherheitsschwachstellen ist genau das Richtige für CWE. Die Kategorien können Ihnen dabei helfen, genau zu identifizieren, was Ihre Systeme gefährdet, und es zu beheben. Welche Bedingungen Sie am anfälligsten machen, bezieht sich oft auf die häufigsten.

Was ist die häufigste Sicherheitslücke?

Die Bestimmung der allgemein häufigsten Software-Schwachstelle hängt von vielen Variablen ab. Schließlich sind die Herausforderungen für die Sicherheit von Webanwendungen nicht dieselben wie bei Offline-Programmen. Aber egal, ob es sich um eine SQL-Befehlsinjektion, ein PHP-Problem, einen Speicherpuffer oder sogar um spezielle Elemente handelt, das CWE kann in 99% der Fälle helfen.

Häufige CWE-Kategorien und Sicherheitslücken sind:

  • Cross-Site-Skripting
  • Puffer läuft über
  • Hartcodierte Passwörter
  • Verzeichnisbaum-/Pfad-Traversal-Fehler
  • Race Bedingung
  • Unterbrochene Authentifizierung
  • Einspritzfehler
  • Defekte Zugangskontrolle
  • Externe XML-Entitäten
  • Unsichere Deserialisierung

Eingebettete vs. Unternehmen CWE

Zu wissen, welche Arten von Anwendungssicherheit Sie benötigen, ist für jedes Projekt von entscheidender Bedeutung. Der Umfang des Projekts bestimmt Ihre Schwachstellen. Verwenden Sie beispielsweise Cloud-Sicherheit? Das bedeutet, dass Sie sich auf die Verhinderung von Datenverlust und die Anwendungssicherheit konzentrieren können.

Aber zu wissen, ob ein System ein Unternehmen oder ein Eingebettetes System spielt auch eine große Rolle.

Unternehmenssystem

Die Kommunikation erfolgt über das Internet, was viele Schwachstellen und Risiken mit sich bringt – insbesondere im Vergleich zu eingebetteten Systemen. Die Netzwerksicherheit ist nicht so einfach zu gewährleisten, daher ist das Schwachstellenmanagement der Schlüssel.

Eingebettetes System

Diese Programme sind oft in C oder C++ geschrieben. Denken Sie an Dinge wie Herzschrittmacher, Kühlschränke und Raketensysteme. Die Kommunikation findet zwischen eingebetteten Systemen statt, sodass statische Analysetools und allgemeine Schwachstellenaufzählung Probleme identifizieren können.

Best Practices für die Verwendung statischer Analysetools
Lesen Sie den Blog

Was ist die allgemeine Bewertung der Schwächen?

Die Aufsichtsbehörde hat vier Methoden:

  1. Common Weakness Risk Analysis Framework (CWRAF™). Dies wird zusammen mit CWSS™ verwendet, um einem Unternehmen seine eigene persönliche Top-X-nummerierte Liste der am häufigsten vorkommenden Schwächen bereitzustellen.
  2. Priorisieren von Schwächen basierend auf der Mission Ihres Unternehmens. Nicht jedes Unternehmen muss alle Dinge auf einmal reparieren. Mit dieser Methode können Sie Ihre dringendsten Anforderungen so erfüllen, dass die Integrität, Zuverlässigkeit und Funktionalität Ihrer Software erhalten bleibt.
  3. CWE Top 25 der gefährlichsten Softwarefehler. Mitre aktualisiert diese Liste von Zeit zu Zeit mit Hilfe von mehr als 20 Branchenspezialisten. Es enthält die häufigsten Schwächen, die für die Zeit festgestellt wurden.
  4. Common Weakness Scoring System (CWSS™). Mit CWSS™ können Entwickler Probleme flexibel, kollaborativ und konsistent priorisieren.
Ein Überblick über die CWE Top 25 und On the Cusp Neueste Updates
Lesen Sie den Blog

Wie messen wir Verwundbarkeit?

Das CWSS™ hilft Entwicklern, Hunderte von Fehlern zu durchsuchen, die in ihrem Code zu finden sind. Automatisierte Tools können jedoch auch für benutzerdefiniertes Scoring und Schwachstellen-Scans verwendet werden. Beachten Sie jedoch, dass jedes Tool seinen eigenen Score erzeugt.

CWSS™ verwendet Folgendes, um die Konsistenz zu wahren:

  • Ein gemeinsamer Rahmen strebt nach Einheitlichkeit und Benutzerfreundlichkeit und Zugang.
  • Quantitative Messungen kann Teams helfen, den Umfang eines Fixes zu bestimmen.
  • Individuelle Priorisierung arbeitet mit CWRAF™ zusammen, um Benutzern zu helfen, die dringendsten Schwachstellen zu finden, um ihre Software und Sicherheit zu verbessern.

Erfahren Sie mehr über CWE und CWE-kompatible Tools

Das Auffinden und Beheben von Fehlern bleibt ein ständig wechselndes Ziel. Aber mit den richtigen Tools in Ihrem Arsenal kann der Prozess viel rationalisierter, unkomplizierter und automatisierter werden. Lassen Sie Ihre Schwächen nicht zu massiven Schwachstellen führen. Fangen Sie klein an, um große Auszahlungen auf der Straße zu sehen.

Eingebettete Cybersicherheit durch sichere Codierungsstandards CWE und CERT
Holen Sie sich das Whitepaper

Weiterführende Inhalte

Whitepaper with image of lines of code on right
Whitepaper

Eingebettete Cybersicherheit durch sichere Codierungsstandards CWE und CERT

Verwandte Post + Ressourcen

Text links: Ein praktischer Leitfaden für KI in sicherheitskritischen eingebetteten Systemen. Rechts ist ein Bild eines eingebetteten Softwarechips mit dem Schriftzug „KI“ in der Mitte zu sehen.
Blog
3 min lesen

Ein praktischer Leitfaden für KI in sicherheitskritischen eingebetteten Systemen

Text links: So gewährleisten Sie sichere Software für KI/ML-gesteuerte eingebettete Systeme. Rechts ist ein Schild mit einem Schloss in der Mitte abgebildet, das über Anschlüssen für eingebettete Software liegt.
Whitepaper

So gewährleisten Sie die Sicherheit in KI-/ML-gesteuerten eingebetteten Systemen

C & C++ Continuous Testing Demo text on left with Parasoft C/C++test CT logo on the right
DEMO MIT Q&A
Jetzt anmelden: 21. Mai

Kontinuierliches Testen von C und C++