Empfohlenes Webinar: MISRA C++ 2023: Alles, was Sie wissen müssen | Zum Video

CWE

CWE-Konformität mit Parasoft

Was ist die CWE Top 25?

CWE (Common Weakness Enumeration) ist eine umfassende Liste von über 800 Programmierfehlern, Entwurfsfehlern und Architekturfehlern, die zu ausnutzbaren Sicherheitslücken führen können - mehr als nur die Top 25. Die Top 25 der gefährlichsten Softwarefehler von CWE / SANS sind eine verkürzte Liste der am weitesten verbreiteten und kritischsten Fehler, die zu schwerwiegenden Sicherheitslücken in der Software führen können und oft leicht zu finden und auszunutzen sind. Dies sind die gefährlichsten Schwachstellen, da sie es Angreifern ermöglichen, die Software vollständig zu übernehmen, Softwaredaten und -informationen zu stehlen oder zu verhindern, dass die Software überhaupt funktioniert.

Durchsetzung der CWE-Konformität mit der statischen Analyse

Parasoft ist als CWE-kompatibel zertifiziert. Dies bedeutet, dass Parasoft-Benutzer während der Konfiguration, Korrektur und Berichterstellung leicht verstehen können, welcher statische Analyseprüfer mit welchem ​​CWE verknüpft ist. Aufgrund des CWE-zentrierten Ansatzes von Parasoft müssen Sie eigentlich nichts Besonderes tun - beheben Sie einfach die Verstöße und generieren Sie automatisch das, was Sie für die Einhaltung benötigen. Parasoft hat auch die Priorisierungs- (Triage) und Audit- (Unterdrückungs-) Aktivitäten unterstützt, indem die technischen Auswirkungen von CWE in den Analyse-Hub integriert wurden.

Wie rechts gezeigt, bietet das einzigartige Echtzeit-Feedback von Parasoft den Benutzern einen kontinuierlichen Überblick über die Einhaltung der CWE, indem interaktive Compliance-Dashboards, Widgets und Berichte bereitgestellt werden, in denen das CWE-Risikobewertungs-Framework direkt im Dashboard selbst implementiert ist.

Wie Parasoft zur Erreichung der CWE-Konformität beiträgt

Parasoft-Benutzer können nutzen Die statischen Codeanalyseprodukte von Parasoft für C/C++, Java und .NETum die Kosten für das Erreichen der CWE-Compliance zu senken und Zeit und Mühe zu sparen.

Parasoft unterstützt CWE-Richtlinien mit speziellen Code-Analyse-Konfigurationen, die den im Standard beschriebenen Best Practices entsprechen. Parasoft unterstützt Mitres Common Weakness Enumeration (CWE) für C-, C ++ -, Java- und .NET-Sprachen. Die verknüpften PDFs zeigen, wie die statischen Analyseregeln von Parasoft dem CWE zugeordnet werden:

Festlegen, Anwenden und Überwachen der Einhaltung von Richtlinien

Der richtlinienorientierte Ansatz von Parasoft definiert die Erwartungen des Unternehmens an die Qualität und gewährleistet gleichzeitig eine konsistente, unauffällige Richtlinienanwendung. Die automatisierte Infrastruktur überwacht automatisch die Einhaltung von Richtlinien auf Transparenz und Überprüfbarkeit.

Durch die sofort einsatzbereiten CWE-Zuordnungen von Parasoft müssen Benutzer keine Zeit damit verschwenden, herauszufinden, welche Prüfer für welche CWEs bei der Konfiguration und beim Fixieren verwendet werden. Benutzer wissen immer von Natur aus, an welchen CWE gearbeitet wird, da die Die Namen der statischen Analyseprüfer sagen es Ihnen.

Für Audits und Berichte zeigt Parasoft genau an, welche Regeln von jedem Prüfer abgedeckt werden, einschließlich eines vollständigen Satzes von PDF-Dateien mit Compliance-Plan- und Abweichungsberichten. Sie benötigen den Compliance-Plan jedoch fast nicht, da die Namen mit denen von CWE identisch sind.

Whitepaper mit Bild von Codezeilen rechts
Whitepaper

Eingebettete Cybersicherheit durch sichere Codierungsstandards CWE und CERT

Erfahren Sie mehr darüber, wie Sie mit einem strengen, auf Standards basierenden Entwicklungsprozess Software-Sicherheit erreichen.

Herunterladen