Entdecken Sie das TÜV-zertifizierte GoogleTest mit Agentic AI für C/C++-Tests!
Details ansehen »
Entdecken Sie die Kapitel
Parasoft bietet umfassende Unterstützung für CERT C und CERT C++ Sichere Codierungsstandards mit vollständiger Abdeckung aller CERT C/C++-Richtlinien, einschließlich Regeln und Empfehlungen, die durch statische Analyse erkennbar sind. Prüfernamen, Dashboards und Berichte verwenden die CERT-Namenskonvention, um Konformität und Auditierung zu vereinfachen. Ein CERT-Konformitäts-Dashboard, das den CERT-Risikowert enthält, hilft Entwicklern, sich auf die kritischsten Verstöße zu konzentrieren.
Das Computer Emergency Response Team (CERT) des Software Engineering Institute (SEI) verfügt über eine Reihe von Richtlinien, die Entwicklern dabei helfen sollen, sicherere und zuverlässigere Software zu erstellen. Der erste CERT-C-Standard wurde 2006 bei einem Treffen des C-Standardausschusses ins Leben gerufen, 2008 veröffentlicht und wird ständig weiterentwickelt.
Es gibt eine 2016 veröffentlichte Buchversion, die jedoch nicht die neuesten Aktualisierungen enthält. Dieser Standard kennt keine spezifischen, unveränderlichen Versionen wie die CWE Top 25. OWASP Top 10. Der Standard entstand aus einer großen Community von über 3,000 Personen mit Fokus auf Entwicklung und Prävention. Die CERT-Standards für sichere Programmierung konzentrieren sich daher auf die Prävention der Ursachen von Sicherheitslücken, anstatt nur die Symptome durch die Suche nach Schwachstellen zu behandeln oder zu managen.
Das CERT-Codierungsrichtlinien sind für C, C++, Java, Perl und Android verfügbar. Sie fallen in zwei Hauptkategorien: Regeln und Empfehlungen.
Regeln sind Richtlinien, die durch statische Analysetools erkennbar sind und eine strikte Durchsetzung erfordern, während Empfehlungen Richtlinien sind, die eine geringere Auswirkung haben und manchmal schwierig automatisch zu analysieren sind.
CERT beinhaltet ein Risikobewertungssystem, das die Wahrscheinlichkeit des Auftretens, den Schweregrad und den relativen Schwierigkeitsgrad der Schadensbegrenzung kombiniert. Dies hilft Entwicklern dabei, Prioritäten zu setzen, welche Richtlinienverstöße am wichtigsten untersucht werden müssen. Die Einbeziehung von Schadensbegrenzungsmaßnahmen in die Richtlinienpriorität ist eine wichtige Ergänzung der CERT-Standards für sicheres Codieren, die vielen anderen Standards fehlt.
Das CERT-Bullseye-Diagramm spiegelt den Kostenfaktor wider. Das Bullseye in der Mitte stellt die Richtlinien mit dem höchsten Schweregrad dar, die schwieriger zu beheben sind. Der Vorteil dieser Priorisierung besteht darin, dass man sich auf die kritischsten Verstöße konzentriert, die den größten Nutzen bei der Sicherheitsverbesserung bringen und gleichzeitig dem Entwicklungsteam helfen, weniger wichtige Warnungen herauszufiltern.
SEI CERT-Schweregrad-Bullseye-Diagramm
Laut der SEI CERT C-Dokumentation Konformität „verlangt, dass der Code keine Verstöße gegen die in diesem Standard festgelegten Regeln enthält. Wird eine Ausnahmebedingung geltend gemacht, muss diese einer vordefinierten Ausnahmebedingung entsprechen, und die Anwendung dieser Ausnahme muss im Quellcode dokumentiert sein.“
Obwohl die Konformität weniger spezifisch ist als Standards wie MISRA, bleiben die Prinzipien ähnlich. Regeln sollten befolgt werden und Abweichungen sind selten und gut dokumentiert. Empfehlungen sollten nach Möglichkeit verwendet und solche, die nicht dokumentiert werden müssen, dokumentiert werden.
Verstöße, die im Quellcode bestehen bleiben, müssen dokumentiert werden. Aus Leistungs- oder Nutzungsgründen sind jedoch keine Abweichungen akzeptabel, und es liegt in der Verantwortung des Entwicklers, nachzuweisen, dass die Abweichung nicht zu einer Sicherheitslücke führt.
Parasoft C/C++test bietet ein umfassendes CERT-Compliance-Dashboard und Berichte. Individuelle Compliance-Berichte sind auf Anfrage verfügbar, basierend auf dem neuesten Build der Software oder einem beliebigen vorherigen Build.
Diese Berichte können sortiert und durchsucht werden, um Verstöße genauer zu untersuchen. Außerdem steht ein Konformitätstestplan zur Verfügung, um die CERT-Richtlinie mit dem entsprechenden Parasoft-Statikanalyseprüfer zu korrelieren. Dies ist ein wichtiges Tool, wenn Konformitätsdokumentation für Prüfzwecke benötigt wird. Darüber hinaus stehen alle interessanten Berichte, wie vom Team angegeben, in einer einzigen PDF-Datei zum Download für Prüfer zur Verfügung.
DTPs CERT-Compliance-Dashboard
Automatisch generierter CERT-Konformitätsbericht
Parasoft bietet umfassende Unterstützung für die sicheren Codierungsstandards CERT C und CERT C++ mit vollständiger Abdeckung aller CERT C/C++-Richtlinien einschließlich Regeln und Empfehlungen, die durch statische Analyse erkennbar sind. Prüfernamen, Dashboards und Berichte verwenden die CERT-Namenskonvention, um Konformität und Auditing zu vereinfachen. Ein CERT-Konformitäts-Dashboard, das den CERT-Risiko-Score enthält, hilft Entwicklern, sich auf die kritischsten Verstöße zu konzentrieren.
Entdecken Sie die Kapitel
