statische-Code-Analyse-bg
CWE

CWE-Konformität mit Parasoft

Was ist die CWE Top 25?

CWE (Common Weakness Enumeration) ist eine umfassende Liste von über 800 Programmierfehlern, Entwurfsfehlern und Architekturfehlern, die zu ausnutzbaren Sicherheitslücken führen können - mehr als nur die Top 25. Die Top 25 der gefährlichsten Softwarefehler von CWE / SANS sind eine verkürzte Liste der am weitesten verbreiteten und kritischsten Fehler, die zu schwerwiegenden Sicherheitslücken in der Software führen können und oft leicht zu finden und auszunutzen sind. Dies sind die gefährlichsten Schwachstellen, da sie es Angreifern ermöglichen, die Software vollständig zu übernehmen, Softwaredaten und -informationen zu stehlen oder zu verhindern, dass die Software überhaupt funktioniert.

Durchsetzung der CWE-Konformität mit der statischen Analyse

Parasoft ist als CWE-kompatibel zertifiziert. Dies bedeutet, dass Parasoft-Benutzer während der Konfiguration, Korrektur und Berichterstellung leicht verstehen können, welcher statische Analyseprüfer mit welchem ​​CWE verknüpft ist. Aufgrund des CWE-zentrierten Ansatzes von Parasoft müssen Sie eigentlich nichts Besonderes tun - beheben Sie einfach die Verstöße und generieren Sie automatisch das, was Sie für die Einhaltung benötigen. Parasoft hat auch die Priorisierungs- (Triage) und Audit- (Unterdrückungs-) Aktivitäten unterstützt, indem die technischen Auswirkungen von CWE in den Analyse-Hub integriert wurden.

Wie rechts gezeigt, bietet das einzigartige Echtzeit-Feedback von Parasoft den Benutzern einen kontinuierlichen Überblick über die Einhaltung der CWE, indem interaktive Compliance-Dashboards, Widgets und Berichte bereitgestellt werden, in denen das CWE-Risikobewertungs-Framework direkt im Dashboard selbst implementiert ist.

Wie Parasoft zur Erreichung der CWE-Konformität beiträgt

Parasoft-Benutzer können nutzen Die statischen Codeanalyseprodukte von Parasoft für C/C++, Java und .NETum die Kosten für das Erreichen der CWE-Compliance zu senken und Zeit und Mühe zu sparen.

Parasoft unterstützt CWE-Richtlinien mit speziellen Code-Analyse-Konfigurationen, die den im Standard beschriebenen Best Practices entsprechen. Parasoft unterstützt Mitres Common Weakness Enumeration (CWE) für C-, C ++ -, Java- und .NET-Sprachen. Die verknüpften PDFs zeigen, wie die statischen Analyseregeln von Parasoft dem CWE zugeordnet werden:

Festlegen, Anwenden und Überwachen der Einhaltung von Richtlinien

Der richtlinienorientierte Ansatz von Parasoft definiert die Erwartungen des Unternehmens an die Qualität und gewährleistet gleichzeitig eine konsistente, unauffällige Richtlinienanwendung. Die automatisierte Infrastruktur überwacht automatisch die Einhaltung von Richtlinien auf Transparenz und Überprüfbarkeit.

Durch die sofort einsatzbereiten CWE-Zuordnungen von Parasoft müssen Benutzer keine Zeit damit verschwenden, herauszufinden, welche Prüfer für welche CWEs bei der Konfiguration und beim Fixieren verwendet werden. Benutzer wissen immer von Natur aus, an welchen CWE gearbeitet wird, da die Die Namen der statischen Analyseprüfer sagen es Ihnen.

Für Audits und Berichte zeigt Parasoft genau an, welche Regeln von jedem Prüfer abgedeckt werden, einschließlich eines vollständigen Satzes von PDF-Dateien mit Compliance-Plan- und Abweichungsberichten. Sie benötigen den Compliance-Plan jedoch fast nicht, da die Namen mit denen von CWE identisch sind.

Die sichere Anwendungsentwicklung umfasst mehr als nur statische Analysen. Eine wirklich sichere Anwendungsentwicklung erfordert, dass das Testen eine Mischung aus Test- und Analysemethoden umfasst, die im gesamten SDLC angewendet werden, und dass ein breites Spektrum an Aktivitäten für das Software-Lebenszyklusmanagement und das Schwachstellen- / Risikomanagement im gesamten Prozess integriert wird, um die Bereitstellung sicherer und zuverlässiger Software sicherzustellen .

Parasoft begegnet diesen beiden Erwartungen mit seinemAnwendungssicherheitslösung. Dieses integrierte Produkt erweitert die statischen Analysefunktionen von Parasoft und bietet ein vorkonfiguriertes System mit Prozessen und Best Practices, mit denen Unternehmen sichere Anwendungen konsistent und effizient erstellen können.

Im Gegensatz zu anderen Anbietern statischer Analysen bietet Parasoft sofort einsatzbereite Richtlinien- / Testkonfigurationen, die vollständig konfigurierbar sind und über die IDE und den CI / CD-Prozess ausgeführt werden können, um Schwachstellen früher im Softwareentwicklungsprozess schnell zu lokalisieren.

Parasoft bietet eine neue und einzigartige Ansicht des Compliance-Status, indem es eine interaktive Compliance-Dashboard-Seite, Widgets und Berichte bereitstellt, die das CWE-Risikobewertungs-Framework direkt im Dashboard selbst implementiert haben.

Mit dem datengesteuerten Berichtssystem von Parasoft können Sie die wichtigsten Probleme und Informationen aus dem Pool möglicher Probleme leicht identifizieren und gleichzeitig automatisch Eingaben von Parasoft-Tools sowie einer Vielzahl anderer Tools (sowohl kommerzieller als auch Open Source-Tools) vornehmen ). Es verfügt außerdem über offene REST-APIs für Eingabe und Ausgabe, sodass Sie diese problemlos in Ihre Build- und Entwicklungssysteme sowie in Software-Abrechnungssysteme für die Prüfung integrieren können.

Whitepaper mit Bild von Codezeilen rechts
WHITEPAPER

Eingebettete Cybersicherheit durch sichere Codierungsstandards CWE und CERT

Erfahren Sie mehr darüber, wie Sie mit einem strengen, auf Standards basierenden Entwicklungsprozess Software-Sicherheit erreichen.

Herunterladen