Empfohlenes Webinar: KI-gestütztes API-Testing: Ein No-Code-Ansatz zum Testen | Zum Video

ISO 26262 Software-Compliance in der Automobilindustrie

SEI/CERT

Parasoft bietet umfassende Unterstützung für CERT C und CERT C++ Sichere Codierungsstandards mit vollständiger Abdeckung aller CERT C/C++-Richtlinien, einschließlich Regeln und Empfehlungen, die durch statische Analyse erkennbar sind. Prüfernamen, Dashboards und Berichte verwenden die CERT-Namenskonvention, um Konformität und Auditierung zu vereinfachen. Ein CERT-Konformitäts-Dashboard, das den CERT-Risikowert enthält, hilft Entwicklern, sich auf die kritischsten Verstöße zu konzentrieren.

Das Computer Emergency Response Team (CERT) des Software Engineering Institute (SEI) verfügt über eine Reihe von Richtlinien, die Entwicklern dabei helfen sollen, sicherere und zuverlässigere Software zu erstellen. Der erste CERT-C-Standard wurde 2006 bei einem Treffen des C-Standardausschusses ins Leben gerufen, 2008 veröffentlicht und wird ständig weiterentwickelt.

Es gibt eine Buchversion, die 2016 veröffentlicht wurde, aber sie enthält nicht die neuesten Updates. Dieser Standard hat keine spezifischen eingefrorenen Veröffentlichungen wie CWE Top 25 und OWASP Top 10. Der Standard entstand aus einer großen Community von über 3,000 Personen mit einem Schwerpunkt auf Engineering und Prävention. Die CERT-Standards für sicheres Coding konzentrieren sich daher auf die Prävention der Grundursachen von Sicherheitslücken, anstatt die Symptome durch die Suche nach Schwachstellen zu behandeln oder zu bewältigen.

Der CERT-Codierungsrichtlinien sind für C, C++, Java, Perl und Android verfügbar. Sie fallen in zwei Hauptkategorien: Regeln und Empfehlungen.

Regeln sind Richtlinien, die durch statische Analysetools erkennbar sind und eine strikte Durchsetzung erfordern, während Empfehlungen Richtlinien sind, die eine geringere Auswirkung haben und manchmal schwierig automatisch zu analysieren sind.

CERT beinhaltet ein Risikobewertungssystem, das die Wahrscheinlichkeit des Auftretens, den Schweregrad und den relativen Schwierigkeitsgrad der Schadensbegrenzung kombiniert. Dies hilft Entwicklern dabei, Prioritäten zu setzen, welche Richtlinienverstöße am wichtigsten untersucht werden müssen. Die Einbeziehung von Schadensbegrenzungsmaßnahmen in die Richtlinienpriorität ist eine wichtige Ergänzung der CERT-Standards für sicheres Codieren, die vielen anderen Standards fehlt.

Das CERT-Bullseye-Diagramm spiegelt den Kostenfaktor wider. Das Bullseye in der Mitte stellt die Richtlinien mit dem höchsten Schweregrad dar, die schwieriger zu beheben sind. Der Vorteil dieser Priorisierung besteht darin, dass man sich auf die kritischsten Verstöße konzentriert, die den größten Nutzen bei der Sicherheitsverbesserung bringen und gleichzeitig dem Entwicklungsteam helfen, weniger wichtige Warnungen herauszufiltern.

SEI CERT-Schweregrad-Bullseye-Diagramm
SEI CERT-Schweregrad-Bullseye-Diagramm

SEI CERT C/C++-Konformität

Laut der SEI CERT C-Dokumentation Konformität „erfordert, dass der Code keine Verstöße gegen die in diesem Standard festgelegten Regeln enthält. Wenn eine Ausnahmebedingung beansprucht wird, muss die Ausnahme einer vordefinierten Ausnahmebedingung entsprechen und die Anwendung dieser Ausnahme muss im Quellcode dokumentiert sein.“

Obwohl die Konformität weniger spezifisch ist als Standards wie MISRA, bleiben die Prinzipien ähnlich. Regeln sollten befolgt werden und Abweichungen sind selten und gut dokumentiert. Empfehlungen sollten nach Möglichkeit verwendet und solche, die nicht dokumentiert werden müssen, dokumentiert werden.

Verstöße, die im Quellcode bestehen bleiben, müssen dokumentiert werden. Aus Leistungs- oder Nutzungsgründen sind jedoch keine Abweichungen akzeptabel, und es liegt in der Verantwortung des Entwicklers, nachzuweisen, dass die Abweichung nicht zu einer Sicherheitslücke führt.

Parasoft C/C++test bietet ein umfassendes CERT-Compliance-Dashboard und Berichte. Individuelle Compliance-Berichte sind auf Anfrage verfügbar, basierend auf dem neuesten Build der Software oder einem beliebigen vorherigen Build.

Diese Berichte können sortiert und durchsucht werden, um Verstöße genauer zu untersuchen. Außerdem steht ein Konformitätstestplan zur Verfügung, um die CERT-Richtlinie mit dem entsprechenden Parasoft-Statikanalyseprüfer zu korrelieren. Dies ist ein wichtiges Tool, wenn Konformitätsdokumentation für Prüfzwecke benötigt wird. Darüber hinaus stehen alle interessanten Berichte, wie vom Team angegeben, in einer einzigen PDF-Datei zum Download für Prüfer zur Verfügung.

DTPs CERT-Compliance-Dashboard
DTPs CERT-Compliance-Dashboard

Automatisch generierter CERT-Konformitätsbericht
Automatisch generierter CERT-Konformitätsbericht

Unterstützung für CERT C/C++ im Parasoft C/C++test

Parasoft bietet umfassende Unterstützung für die sicheren Codierungsstandards CERT C und CERT C++ mit vollständiger Abdeckung aller CERT C/C++-Richtlinien einschließlich Regeln und Empfehlungen, die durch statische Analyse erkennbar sind. Prüfernamen, Dashboards und Berichte verwenden die CERT-Namenskonvention, um Konformität und Auditing zu vereinfachen. Ein CERT-Konformitäts-Dashboard, das den CERT-Risiko-Score enthält, hilft Entwicklern, sich auf die kritischsten Verstöße zu konzentrieren.

Dunkelblaues Banner mit dem Bild eines Mannes, der in einem Serverraum mit einer Frau spricht, die ein Tablet in der Hand hält.
Bild eines Mannes und einer Frau mit einem Tablet in der Hand, die in einem Serverraum diskutieren.

Verbessern Sie Ihre Softwaretests mit Parasoft-Lösungen.