Empfohlenes Webinar: KI-gestütztes API-Testing: Ein No-Code-Ansatz zum Testen | Zum Video

ISO 26262 Software-Compliance in der Automobilindustrie

CWE - Gemeinsame Schwachstellenaufzählung

CWE ist eine Liste entdeckter Softwareschwachstellen, die auf der Analyse gemeldeter Schwachstellen (CVEs) basieren. Die Sammlung von CVEs und CWEs ist eine von der US-Regierung finanzierte Initiative, die von der Software-Community entwickelt und von der MITRE-Organisation verwaltet wird. Insgesamt enthält die CWE-Liste über 800 Einträge.

Diese über 800 Einträge sind in benutzerfreundlicheren Listen organisiert, wie beispielsweise den bekannten CWE Top 25. Die Top 25 listet die häufigsten und gefährlichsten Sicherheitslücken auf. Dabei handelt es sich um Exploits, die eine hohe Wahrscheinlichkeit haben, aufzutreten, und die Auswirkungen der Ausnutzung der Schwachstelle sind groß. Die von einem CWE dokumentierten Softwareschwachstellen sind die Software, die in eine Reihe entdeckter Schwachstellen (dokumentiert als CVEs) verwickelt ist, als eine Analyse durchgeführt wurde, um die Grundursache zu ermitteln. CVEs sind bestimmte beobachtete Schwachstellen in Softwareprodukten, für die es eine genaue Definition gibt, wie sie ausgenutzt werden können.

Die aktuelle Version der CWE Top 25 stammt aus dem Jahr 2011. Eine aktualisierte Top 25 mit verbesserter Verlinkung zu CVEs und NVD ist derzeit in Arbeit. Das Ranking berücksichtigt Informationen aus der Praxis, sodass es die 25 wichtigsten Anwendungssicherheitsprobleme von heute wirklich widerspiegelt. Sobald es veröffentlicht wird, wird Parasoft aktualisierten Support für die neueste Version haben.

Die aktuellen CWE Top 25 sind unten aufgeführt.

CWE Top 25 der häufigsten und schwerwiegendsten Schwachstellen
CWE Top 25 der häufigsten und schwerwiegendsten Schwachstellen
Für Softwareteams, die die Top 25 gut im Griff haben, gibt es eine weitere Gruppierung der nächsthäufigsten und schwerwiegendsten Schwachstellen, die CWE CUSP genannt wird. Eine andere Möglichkeit, sich diese vorzustellen, sind die 25 wichtigsten ehrenvollen Erwähnungen.

Der CWE verwendet eine Risikobewertungsmethode um die Top 25 (und den CUSP) zu erreichen. Dieser Score berücksichtigt die technischen Auswirkungen einer Software-Schwachstelle (wie gefährlich die Ausnutzung dieser Schwachstelle in der realen Welt ist), gemessen mit dem CWSS (Common Weakness Scoring System). Beispiele für technische Auswirkungen von Schwachstellen können Denial of Service (DoS), Distributed Denial of Service (DDoS), Lese- oder Schreibzugriff auf geschützte Informationen, unbefugter Zugriff usw. sein.

Die Details dieser Methoden sind nicht allzu wichtig, aber die sortierte Liste ist hilfreich, um zu verstehen, welche Schwachstellen am meisten Anlass zur Sorge geben. Beispielsweise ist es möglich, dass Ihre Anwendung rein intern ist und DoS-Probleme für Sie nicht kritisch sind. Die Fähigkeit, die wichtigsten Schwachstellen Ihrer Anwendung zu priorisieren, kann helfen, die Überlastung durch Verstöße gegen die statische Analyse zu überwinden.

CWE Top 25 und On the Cusp Compliance

Die Einführung des Codierstandard-Compliance-Prozesses in den Entwicklungsworkflow des Teams ist keine leichte Aufgabe. Daher ist es wichtig, ein Tool auszuwählen, das bei der Einhaltung der Compliance hilft, ohne zu viel Aufwand zu verursachen und ohne dass zusätzliche manuelle Verfahren erforderlich sind. Die folgenden Punkte sind wichtige Entscheidungsfaktoren bei der Auswahl der Lösung für die statische Analyse.

Der CWE-Top 25 und sein weniger bekanntes Geschwisterchen On the Cusp sind keine Kodierungsstandards per se, sondern eine Liste von Schwachstellen, die es zu vermeiden gilt, um die Sicherheit zu verbessern. Um CWE-konform zu sein, muss ein Projekt nachweisen können, dass es angemessene Anstrengungen unternommen hat, um diese häufigen Schwachstellen zu erkennen und zu vermeiden.

Parasofts erweiterte statische Analysetools für C, C++, Java und .NET sind offiziell mit CWE kompatibel und ermöglichen die automatische Erkennung der Top 25- und On the Cusp-Schwachstellen (und vieler weiterer). CWE-zentrierte Dashboards bieten Benutzern schnellen Zugriff auf Standardverletzungen und den aktuellen Projektstatus. Eine integrierte CWE Top 25-Konfiguration ist für C, C++, .NET und Java verfügbar und deckt alle 25 gängigen Schwachstellen vollständig ab.

Screenshot des CWE 4.4 - .NET-Compliance-Dashboards von Parasoft DTP Report Center
CWE 4.4 – .NET-Compliance-Dashboard

Die Parasoft-Tools enthalten Informationen aus dem Risikoanalyse-Framework des CWRAF, z. B. zu technischen Auswirkungen. So können Sie von der gleichen Art der Priorisierung basierend auf Risiken und technischen Auswirkungen sowie den in Ihrem Code gefundenen Schwachstellen profitieren.

Die On the Cusp-Richtlinien sind ebenfalls verfügbar. Wenn sie aktiviert sind, werden sie genauso behandelt wie die Top 25 und die Berichte bieten den gleichen Detaillierungsgrad. Dies ist nützlich, da UL 2900 (früher Underwriters Laboratory) und die FDA die vollständige Liste der Richtlinien empfehlen (Top 25 + On the Cusp + OWASP Top 10). Es ist möglich, bei Bedarf andere Richtlinien aus CWE-Listen oder andere Standards und Richtlinien mithilfe der benutzerdefinierten Prüfkonfigurationen von Parasoft zu integrieren.

Parasoft unterstützt außerdem detaillierte Compliance-Berichte, um Auditprozesse zu optimieren. Die Web-Dashboards bieten Links zu Compliance-Berichten, die ein vollständiges Bild des aktuellen Projektstatus liefern. Darüber hinaus ordnet der CWE-Schwachstellenerkennungsplan den CWE-Eintrag den Prüfern zu, die zur Erkennung der Schwachstelle verwendet werden. Dies hilft zu veranschaulichen, wie ein Prüfer die Compliance erreicht hat, und die Prüfberichte können zur einfachen Berichterstattung als PDFs heruntergeladen werden.

Screenshot des automatisch generierten CWE-Konformitätsberichts von Parasoft DTP
Automatisch generierter CWE-Konformitätsbericht
Dunkelblaues Banner mit dem Bild eines Mannes, der in einem Serverraum mit einer Frau spricht, die ein Tablet in der Hand hält.
Bild eines Mannes und einer Frau mit einem Tablet in der Hand, die in einem Serverraum diskutieren.

Verbessern Sie Ihre Softwaretests mit Parasoft-Lösungen.