Empfohlenes Webinar: MISRA C++ 2023: Alles, was Sie wissen müssen | Zum Video

Person, die am Computer tippt

C / C ++ - Sicherheitstests

C / C ++ - Sicherheitstests

Unterstützt von Parasoft C / C ++ Test, der umfassendsten Lösung für Entwicklungstests für C und C ++

Sicherheitstests für die Bereitstellung von robustem C / C ++ - Code

Benutzer können ihre Software mit der umfassenden Sicherheitstestlösung von Parasoft für C / C ++ fachmännisch und effizient härten. Eine umfassende Lösung, die Unterstützung für Cybersicherheitsstandards und Tools umfasst, mit denen Benutzer die Hauptursache für Software-Sicherheitsfehler beheben und eine sichere Design-Lösung für die heutige Software für verbundene Geräte erreichen können.

Wie funktioniert es?

Statische Codeanalyse-Technologie von Parasoft liefert qualitativ hochwertige Ergebnisse für die unterschiedlichsten Arten von Sicherheitsmängeln. Mit über 2500 statischen Analyseregeln ist Parasoft in der Lage, nicht nur Sicherheitsmängel im Code zu erkennen, sondern auch die zugrunde liegenden technischen Probleme zu lokalisieren, die zu solchen Schwachstellen geführt haben. Gemeldete Verstöße enthalten Metadaten mit Schweregrad, Stacktraces und Parameterwerten, die zu dem gemeldeten Problem führen, sowie Empfehlungen zur Schadensbegrenzung, um den Code ordnungsgemäß zu beheben. Diese branchenführende Unterstützung für statische Analyseregeln und -standards unterstützt vollständig einen Secure-by-Design-Ansatz für die Softwareentwicklung.

Sicherheitswarnungen für statische Analysen und Verstöße gegen Codierungsstandards werden je nach den Anforderungen des Einzelnen und der Organisation auf verschiedene Weise gemeldet. Entwickler können Verstöße direkt in ihrer IDE melden, in der sie arbeiten, mit vollständiger Dokumentation und der Möglichkeit, Verstöße zu reparieren, zu unterdrücken, neu zuzuweisen und aufzuschieben. Manager erhalten eine leistungsstarke Weboberfläche, die Details in Form von anpassbaren Berichten, Dashboards, historischen Trends, Compliance- und Auditdaten sowie leistungsstarken erweiterbaren Analysen bereitstellt.

Parasoft hat alle wichtigen Anwendungssicherheitsstandards implementiert, wie z. B. SEI CERT C / C ++, CWE-Codierungsrichtlinien (Common Weakness Enumeration), UL 2900 und OWASP sowie sicherheitsspezifische Dashboards für jedes, die den Benutzern helfen, das Risiko und die Priorisierung von zu verstehen ausstehende Verstöße / Schwachstellen / Sicherheitsmängel.

Parasoft bietet die umfassendste Unterstützung für den CERT-Standard. Die Parasoft-Konfiguration verwendet Datenkarten hinter den Kulissen, die eine CERT-zentrierte Ansicht liefern, und alle Verstöße werden nativ mithilfe von CERT-Kennungen gemeldet. Dies ist die einfachste sofort einsatzbereite Konfiguration, die von jedem SAST-Anbieter angeboten wird. Darüber hinaus hat Parasoft für jede Richtlinie den einzigartigen Satz von Metadaten von CERT implementiert, der Faktoren enthält, die zur Bestimmung des Risikos und zur Priorisierung statischer Analyseergebnisse verwendet werden. Alle Verstöße enthalten daher Informationen über die Wahrscheinlichkeit der Ausnutzung, die Schwierigkeit und die Kosten der Behebung sowie den Schweregrad bei Ausnutzung .

Parasoft unterstützt auch die CWE-Codierungsrichtlinien. Konfigurationen sind nicht nur für die häufigsten gefährlichen Probleme der „Top 25“ verfügbar, sondern auch für die CWE CUSP. Sobald ein Team die kritischen Schwachstellen in den CWE Top 25 behoben hat, ist die CUSP-Konfiguration ein guter zweiter Schritt, bevor Sie mit den vollständigen CWE-Richtlinien fortfahren. Darüber hinaus sind sowohl die Top 25 als auch die CUSP Kernelemente des UL 2900-Standards. Die Einhaltung dieser Standards hilft daher, Produkte für den Einsatz in einem IoT-Ökosystem vorzubereiten.

Parasoft bietet CWE-zentrierte Dashboards und Berichte, sodass Verstöße basierend auf CWE-Kennungen gemeldet werden. So können Sie leicht verstehen, woran Sie arbeiten, und die Einhaltung der erforderlichen Vorschriften nachweisen. Parasoft nutzt Daten von CWE, um SAST-Ergebnisse anhand ihrer potenziellen Auswirkungen nachgelagert zu priorisieren und zu kategorisieren.

Mit Parasoft können Sie nicht nur vorhandene Schwachstellen finden, sondern Ihren Code auch mit soliden, sicheren Codierungsstandards sichern, die die Anzahl der CVEs (Common Vulnerabilities and Exposures) in Ihrem Code / Ihrer Anwendung / Ihrem Gerät reduzieren. Die Analyse kann direkt in der vom Entwickler ausgewählten IDE, auf einem Build-Server und direkt als Teil der CI / CD-Pipeline ausgeführt werden. Auf diese Weise erhalten die Entwickler Ergebnisse, wann und wo sie benötigt werden, und das Management erhält das erforderliche Verständnis, um das Sicherheitsrisiko und die Sicherheit zu minimieren Sicherheitsüberprüfungen.

Eigenschaften

Profitieren Sie vom Parasoft-Ansatz

Bewegen Sie sich nach dem Testen in die Härtung

Die meisten SAST-Tools konzentrieren sich eher auf das Auffinden potenzieller Fehler als auf Code, der ausgenutzt werden könnte, und füllen sie mit falschen Negativen. Der Engineering-Ansatz von Parasoft priorisiert den Einbau der Sicherheit in die Anwendung, unterstützt durch die Identifizierung von besorgniserregendem Code und Regeln für bewährte Codierungspraktiken. Durch die Unterstützung aller verschiedenen Modelle der statischen Analyse können Benutzer über das Testen hinaus ins Engineering übergehen und ihren Code wirklich gegen Sicherheitsangriffe absichern.

Wissen, wo Sie mit Sicherheitscodierungsstandards stehen

Parasoft bietet eine vollständige, standardorientierte Ansicht, um zu verstehen, wo Sie mit Codierungsstandards für Cybersicherheit stehen. Sie müssen nicht versuchen, Regeln einem Standard zuzuordnen, herauszufinden, welche Ergebnisse gegen welchen Standard verstoßen, und dann einen benutzerdefinierten Bericht für Audits erstellen. Stattdessen erhalten Sie automatisch vollständige Transparenz, um zu verstehen, welche Regeln Sie verwendet haben, um den Standard zu erfüllen, welche Verstöße behoben wurden und welche Abweichungen zulässig waren.

Priorisieren Sie die Ergebnisse auf der Grundlage der Cybersicherheitsforschung

Parasoft ist führend bei der Implementierung der Bewertung des Anwendungssicherheitsrisikos von Organisationen wie CWE und CERT, die sich auf Themen wie die nachgelagerten Probleme konzentrieren, die durch bestimmte Verstöße verursacht werden. Normalerweise muss ein Entwickler die Bedeutung eines Pufferüberlaufs verstehen und dies dem Management mitteilen. Stattdessen können sich Benutzer auf die technischen Auswirkungswerte von Parasoft verlassen, die nicht auf dem Code basieren, sondern auf der inhärenten Ebene des Problems, der Wahrscheinlichkeit, dass es ausgenutzt wird, und den Kosten für die Behebung des Problems.