Die CWE-Kompatibilität bestätigt die Fähigkeit der statischen und dynamischen Analysetools LDRA Testbed und TBvision, beim Auffinden von Sicherheitslücken und Schwachstellen im Code zu helfen und Unterstützung bei der Entwicklung sicherer Software-Applikationen zu leisten.

CWE

Nach Erhebungen unter Leitung des National Institute of Security Technology gehen 64 % der Software-Schwachstellen auf Programmierfehler zurück. Ziel des CWE-Projekts ist es, Fehler in der Software besser zu verstehen und automatisierte Tools zu realisieren, die zum Identifizieren, Beheben und Vermeiden dieser Fehler eingesetzt werden können. Um bei der Identifikation der zentralen Schwachstellen zu helfen, die zum Entstehen von Software-Sicherheitslücken beitragen, wurde die CWE-Liste mit gängigen Software-Schwachstellen als Bestandteil einer strategischen Softwareverlässlichkeits-Initiative geschaffen, die unter anderem von der National Cyber Security Division des US-Heimatschutzministeriums finanziert wird.

Auf Welche Tools sind richtig für mich? finden Sie Hilfe bei der Auswahl der auf Sie zugeschnittenen Tool Suite.

LDRA-Tools für die CWE Secure Coding Standards
  • LDRA Testbed/TBvision, die zentrale Analyse-Engine der LDRA Tool Suite, nimmt die zur Durchsetzung von Codingstandards erforderliche statische Analyse vor und ermöglicht Ihnen das Sichten der Ergebnisse nach jedem unterstützten branchenüblichen Codierstandard. Die LDRA Tool Suite wird auf die CWE-Codierregeln abgebildet, um etwaige Schwachstellen im Code zu identifizieren, zu referenzieren und zu dokumentieren
  • Das LDRA TBsecure Modul stellt die Konformität zu Security-Codingstandards und die Speicheranalyse grafisch dar und automatisiert die Konformitäts-Dokumentation
  • LDRArules ist ein kosteneffektiver, eigenständiger und von der LDRA Tool Suite unabhängiger Regelprüfer, dessen Schwerpunkt auf der Steigerung der Softwarequalität durch Konformität zu Codingstandards wie CWE liegt
LDRA hat für die LDRA Tool Suite die Kompatibilität zur Common Weakness Enumeration (CWE) erreicht

Dies bestätigt die Fähigkeit der Tools zur Identifikation gängiger Programmierfehler, die zum Entstehen von Sicherheitslücken beitragen können die sich für Exploits nutzen lassen.

CWE-kompatible Produkte und Services müssen die folgenden Kriterien erfüllen:

  • CWE-durchsuchbar – Die Anwender können die Security-Elemente nach CWE-Kennungen durchsuchen
  • CWE-Ausgabe – Die den Anwendern präsentierten Security-Elemente enthalten die entsprechenden CWE-Kennungen oder ermöglichen den Anwendern, diese einzuholen
  • Zuordnungsgenauigkeit – Die Security-Elemente sind präzise mit den jeweiligen CWE-Kennungen verknüpft
  • CWE-Dokumentation – Die Dokumentation der Fähigkeit beschreibt CWE, die CWE-Kompatibilität und die Nutzung der CWE-bezogenen Funktionalität in der Fähigkeit
LDRA bietet uneingeschränkte Transparenz bezüglich der Codierstandard-Unterstützung

Wir halten für jeden von uns unterstützten Codierstandard eine Konformitäts-Matrix bereit, damit Sie genau sehen können, welche Regeln in unseren Tools implementiert sind. So können Sie ganz einfach die Konformität des Tools zu den verschiedenen Versionen des Standards vergleichen und die Konformität für mehrere Standards beurteilen.

Sie finden nachfolgend eine Zusammenfassung der Konformität von LDRA zum CWE-Standard. Die detaillierte Matrix gibt es zum Download (Registrierung erforderlich).

common weakness enumeration aerospace

  • Konformitäts-Matrix für CWE

aerospace common weakness enumeration