Parasoft C/C++test 2022.2 unterstützt das neue MISRA C:2012 Amendment 3 und eine Entwurfsversion von MISRA C++ 202x. Erfahren Sie mehr >>

Alles über CWE: Aufzählung allgemeiner Schwächen

Von Ricardo Camacho

12. August 2021

5  min lesen

Oberflächlich betrachtet beschäftigt sich Common Weakness Enumeration (CWE) mit Schwachstellenkategorien in Software und Hardware. Sehen Sie sich diesen Beitrag an, um ein umfassendes Verständnis von Schwachstellen aus der CWE-Perspektive zu erhalten, einschließlich der Bewertung gängiger Schwachstellen und wie Schwachstellen gemessen werden.

Bei der Cybersicherheit dreht sich alles um Minderung und Prävention CWE oder allgemeine Schwachstellenaufzählung. Die Mitre Corporation unterhält das CWE-Kategoriesystem, das die verschiedenen Schwachstellen katalogisiert.

Es arbeitet mit der US National Vulnerability Database (NVD) zusammen – der Sammlung von Daten zum Schwachstellenmanagement basierend auf Standards, die von der Bundesregierung betrieben werden. Das NIST oder National Institute of Standards and Technology beaufsichtigt die NVD. OWASP, das gemeinnützige und Open Source Open Web Application Security Project®, arbeitet ebenfalls eifrig daran, die Sicherheit von Web-Informationen zu stärken.

In diesem Blog besprechen wir alles, was Sie wissen müssen, um Softwareschwächen und allgemeine Cybersicherheit in der Softwareentwicklung zu verstehen. Darüber hinaus wird erläutert, wie man sie am besten verwendet. Wie bei allem müssen wir mit den Grundlagen beginnen und von dort aus detaillierter werden. Dieser Blog behandelt:

  1. Was ist CWE in Sachen Sicherheit?
  2. Was ist CWE-Software?
  3. Wie viele CWE gibt es?
  4. Welche Bedingungen machen Sie angreifbar?
  5. Was sind Beispiele für Schwachstellen?
  6. Wie messen wir Verwundbarkeit?
  7. Was ist ein allgemeines Schwächenaufzählungs-Scoring?
  8. Was ist CWE oder CVE?

Bild des Mitre-Corporation-Logos in Schwarz-Weiß-Foto

Was ist CWE?

Es gibt viele Akronyme in jeder Branche, aber CWE ist ein großes Unternehmen für Softwaresicherheit. Statische Analyse- und Sicherheitstools müssen durch das Wissen unterstützt werden, wonach zu suchen ist und wie man sich dem idealen Risikoniveau für Ihr Projekt annähert.

CWE ist bestrebt, das Schwachstellenmanagement schlanker und zugänglicher zu machen. Der von der Community entwickelte Katalog weist Hardware- und Software-Schwächen auf und wird als „eine gemeinsame Sprache, ein Maßstab für Sicherheitstools und eine Grundlage für die Identifizierung von Schwachstellen, Minderung und Präventionsmaßnahmen“ beschrieben.

Wem gehört CWE?

Wie bereits erwähnt, besitzt und unterhält die Mitre Corporation die CWE. Sie verwalten auch FFRDCs oder staatlich finanzierte Forschungs- und Entwicklungszentren für das US-Heimatschutzministerium sowie Behörden in den Bereichen Gesundheitswesen, Luftfahrt, Verteidigung und natürlich Cybersicherheit.

Die CWE-Liste stellt gängige Schwachstellen und Offenlegungen zusammen, die Programmierern und Softwareentwicklern dabei helfen können, die Informationssicherheit aufrechtzuerhalten. Schließlich ist die Einhaltung von Sicherheitsrichtlinien während des gesamten Entwicklungslebenszyklus viel einfacher zu verwalten als Strategien nach einem Verstoß.

Wie viele CWEs gibt es?

Es gibt nur einen CWE, der von der Mitre Corporation verwaltet wird. Diese Liste enthält jedoch mehr als 600 Kategorien. Die neueste Version (3.2) wurde im Januar 2019 veröffentlicht.

Quellcode auf einem Bildschirm auf der Suche nach Softwareschwächen

Was ist CWE-Software?

Die Kategorien für CWE reichen von allem wie SEI CERT Oracle Coding Standard for Java bis hin zu Schwächen ohne Softwarefehlermuster. Zum Glück haben die Taxonomie, Organisation und Zugänglichkeit der Kategorien einen sehr hohen Stellenwert.

Der Katalog verwendet ein nummeriertes System unter den drei Hauptbereichen der Anfälligkeit:

Schauen Sie sich anFunktion
Software-EntwicklungKonzepte werden nach Häufigkeit der Begegnung oder Verwendung in der Quellcodeentwicklung gruppiert.
Hardware-DesignHäufig gesehene oder verwendete Schwächen im Hardwaredesign werden zusammengefasst.
ForschungskonzepteUm die Erforschung häufiger Probleme zu erleichtern, werden die Items nach ihrem Verhalten gruppiert.

Zum Beispiel CWE-89 befasst sich mit dem Auftreten von SQL-Injection-Fehlern, enthält aber auch Links zu hilfreichen CWE-Abschnitten, um Sicherheitslücken weiter abzuschwächen.

CWE vs. CVE

CVE ist ein Akronym für Common Vulnerabilities and Exposures. Kurz gesagt: Der Unterschied zwischen CVE und CWE besteht darin, dass einer die Symptome behandelt, während der andere eine Ursache behandelt. Wenn die CWE Arten von Software-Schwachstellen kategorisiert, ist die CVE einfach eine Liste der derzeit bekannten Probleme in Bezug auf bestimmte Systeme und Produkte.

US-CERT sponsert das Projekt, wobei Mitre es auch beaufsichtigt. Die Aufrechterhaltung der Sicherheitskontrolle für Software Assurance kann CVE nutzen, ist jedoch nicht so integral wie CWE. Es ist jedoch problemlos CWE-kompatibel – eine Funktionalität, die von Mitre gewährleistet wird.

Welche Bedingungen machen Sie verwundbar?

Das Identifizieren der gefährlichsten Sicherheitsschwachstellen ist genau das Richtige für CWE. Die Kategorien können Ihnen dabei helfen, genau zu identifizieren, was Ihre Systeme gefährdet, und es zu beheben. Welche Bedingungen Sie am anfälligsten machen, bezieht sich oft auf die häufigsten.

Was ist die häufigste Sicherheitslücke?

Die Bestimmung der allgemein häufigsten Software-Schwachstelle hängt von vielen Variablen ab. Schließlich sind die Herausforderungen für die Sicherheit von Webanwendungen nicht dieselben wie bei Offline-Programmen. Aber egal, ob es sich um eine SQL-Befehlsinjektion, ein PHP-Problem, einen Speicherpuffer oder sogar um spezielle Elemente handelt, das CWE kann in 99% der Fälle helfen.

Häufige CWE-Kategorien und Sicherheitslücken sind:

  • Cross-Site-Skripting
  • Puffer läuft über
  • Hartcodierte Passwörter
  • Verzeichnisbaum-/Pfad-Traversal-Fehler
  • Race Bedingung
  • Unterbrochene Authentifizierung
  • Einspritzfehler
  • Defekte Zugangskontrolle
  • Externe XML-Entitäten
  • Unsichere Deserialisierung

Mann sitzt während des Abhebens im Kontrollraum für den Raketenstart und arbeitet an einem eingebetteten System

Eingebettete vs. Unternehmen CWE

Zu wissen, welche Arten von Anwendungssicherheit Sie benötigen, ist für jedes Projekt von entscheidender Bedeutung. Der Umfang des Projekts bestimmt Ihre Schwachstellen. Verwenden Sie beispielsweise Cloud-Sicherheit? Das bedeutet, dass Sie sich auf die Verhinderung von Datenverlust und die Anwendungssicherheit konzentrieren können.

Aber zu wissen, ob ein System ein Unternehmen oder ein Eingebettetes System spielt auch eine große Rolle.

Unternehmenssystem

Die Kommunikation erfolgt über das Internet, was viele Schwachstellen und Risiken mit sich bringt – insbesondere im Vergleich zu eingebetteten Systemen. Die Netzwerksicherheit ist nicht so einfach zu gewährleisten, daher ist das Schwachstellenmanagement der Schlüssel.

Eingebettetes System

Diese Programme sind oft in C oder C++ geschrieben. Denken Sie an Dinge wie Herzschrittmacher, Kühlschränke und Raketensysteme. Die Kommunikation findet zwischen eingebetteten Systemen statt, sodass statische Analysetools und allgemeine Schwachstellenaufzählung Probleme identifizieren können.

Best Practices für die Verwendung statischer Analysetools

Digitales Bild des Liniendiagramms für die CWE-Bewertung

Was ist die allgemeine Bewertung der Schwächen?

Die Aufsichtsbehörde hat vier Methoden:

  1. Common Weakness Risk Analysis Framework (CWRAF™). Dies wird zusammen mit CWSS™ verwendet, um einem Unternehmen seine eigene persönliche Top-X-nummerierte Liste der am häufigsten vorkommenden Schwächen bereitzustellen.
  2. Priorisieren von Schwächen basierend auf der Mission Ihres Unternehmens. Nicht jedes Unternehmen muss alle Dinge auf einmal reparieren. Mit dieser Methode können Sie Ihre dringendsten Anforderungen so erfüllen, dass die Integrität, Zuverlässigkeit und Funktionalität Ihrer Software erhalten bleibt.
  3. CWE Top 25 der gefährlichsten Softwarefehler. Mitre aktualisiert diese Liste von Zeit zu Zeit mit Hilfe von mehr als 20 Branchenspezialisten. Es enthält die häufigsten Schwächen, die für die Zeit festgestellt wurden.
  4. Common Weakness Scoring System (CWSS™). Mit CWSS™ können Entwickler Probleme flexibel, kollaborativ und konsistent priorisieren.
Ein Überblick über die CWE Top 25 und On the Cusp Neueste Updates

Wie messen wir Verwundbarkeit?

Das CWSS™ hilft Entwicklern, Hunderte von Fehlern zu durchsuchen, die in ihrem Code zu finden sind. Automatisierte Tools können jedoch auch für benutzerdefiniertes Scoring und Schwachstellen-Scans verwendet werden. Beachten Sie jedoch, dass jedes Tool seinen eigenen Score erzeugt.

CWSS™ verwendet Folgendes, um die Konsistenz zu wahren:

  • Ein gemeinsamer Rahmen strebt nach Einheitlichkeit und Benutzerfreundlichkeit und Zugang.
  • Quantitative Messungen kann Teams helfen, den Umfang eines Fixes zu bestimmen.
  • Individuelle Priorisierung arbeitet mit CWRAF™ zusammen, um Benutzern zu helfen, die dringendsten Schwachstellen zu finden, um ihre Software und Sicherheit zu verbessern.

Abstrakte digitale Bilder zur Darstellung von Pufferüberlauf und Bedeutung der Cybersicherheit für CWE

Erfahren Sie mehr über CWE und CWE-kompatible Tools

Das Auffinden und Beheben von Fehlern bleibt ein ständig wechselndes Ziel. Aber mit den richtigen Tools in Ihrem Arsenal kann der Prozess viel rationalisierter, unkomplizierter und automatisierter werden. Lassen Sie Ihre Schwächen nicht zu massiven Schwachstellen führen. Fangen Sie klein an, um große Auszahlungen auf der Straße zu sehen.

Eingebettete Cybersicherheit durch sichere Codierungsstandards CWE und CERT

Von Ricardo Camacho

Als Senior Technical Product Marketing Manager für die Embedded-Testlösungen von Parasoft verfügt Ricardo über Expertise in SDLC und Testautomatisierung von Embedded-Echtzeit-, sicherheits- und sicherheitskritischen Anwendungen und Software-Konformität mit Industriestandards.

Erhalten Sie die neuesten Nachrichten und Ressourcen zum Testen von Software sofort.