Related Imagery
Related Documents
Nachweis von CWE mit der LDRA Werkzeugreihe®
Nachweis von CWE mit der LDRA Werkzeugreihe®
| CWE Übersicht | Warum CWE? | Die LDRA Werkzeugreihe Schlüsselmerkmale - CWE |
CWE Übersicht
Das CWE (Common Weakness Enumeration) Projekt ist eine von einer internationalen Gemeinschaft entwickelte formale Liste von bekannten Softwareschwächen. CWE ist eine der Softwaresicherheit verpflichtete strategische Initiative die von der National Cyber Security Division des U.S. Heimatschutzministeriums maßgeblich unterstützt wird. Die Bemühungen von CWE helfen bei der Formung und des Reifens der Anbieter von Werkzeugen zur Codesicherheitsabschätzung und beschleunigen in dramatischer Weise die Verwendung von Codequalitätsfunktionen, wenn Organisationen Softwaresysteme, die sie entwickeln oder erwerben, auf Codesicherheit hin überprüfen.
CWE spricht Entwickler und Sicherheitspraktiker an und stellt eine formale Liste von Typen von Softwareschwächen dar, die zum folgenden Zweck erzeugt wurde:
- Dient als gemeinsame Sprache zur Beschreibung von Softwareschwächen in der Architektur, dem Entwurf oder der Codierung
- Dient als Standardmaßstab für Werkzeuge zur Abschätzung von Softwaresicherheit, die diese Schwächen bewerten und identifizieren.
- Dient als gemeinsamer Basisstandard zur Identifizierung, Bewertung und Prävention dieser Schwächen
Nach Recherchen des National Institute of Security Technology rühren 64% der Softwareschwächen von Programmierfehlern her. Um bei der Identifizierung der Kerne solcher Schwächen, die für Softwareanfälligkeiten wesentlich verantwortlich sind, beizutragen, hat MITRE Corporation, eine öffentliche Organisation, die nicht auf Gewinnerzielung aus ist, die CWE Liste ins Leben gerufen. MITRE verwaltet mehrere Forschungs- und Entwicklungszentren, die von US Bundesmitteln gespeist werden, einschließlich eines für das US Heimatschutzministeriums, welches mit der Entwicklung des CWE Projektes beauftragt wurde. CWE wurde mit dem Ziel entwickelt, dass Organisationen sicher sein können, wenn sie Softwareprodukte erwerben oder entwickeln, diese Produkte frei von bekannten typischen Programmierfehler sind.
Wie Sie weitere Informationen erhalten können
Zwecks weiterer Informationen bezüglich Nachweis von CWE und Verfügbarkeit füllen Sie bitte das LDRA Antwortformular aus, oder senden eine Email an info@ldra.com.
Warum CWE?
Der Anspruch
Erwerber von Software möchten sicher gehen, dass die Softwareprodukte, die sie erhalten auf bekannte Sicherheitsschwächen hin überprüft wurden. Die Einkäuferabteilungen in großen Regierungsbehörden und privaten Organisationen bewegen sich dahingehend, dass solche Überprüfungen Teil zukünftiger Kontrakte werden. Die Werkzeuge und Dienstleistungen, die sich für solche Überprüfungen eignen sind jedoch im besten Falle neu. Daher gibt es keine Nomenklaturen, Taxonomien oder Standards, die die Funktionen und Abdeckungen dieser Werkzeuge und Dienstleistungen festlegen. Es ist daher schwierig zu entscheiden welches Werkzeug oder welche Dienstleistung am besten für eine bestimmte Aufgabe geeignet ist. Es wird daher eine Liste von Standards benötigt, die die Softwaresicherheitsschwächen klassifiziert und als vereinheitlichte Sprache und Maßstab für solche Werkzeuge und Dienstleistungen dient.
Die Lösung
CWE ist so strukturiert und breit und tief genug angelegt um als geeigneter Standard zu dienen. CWEs Definitionen und Beschreibungen unterstützen Entwickler bei der Auffindung bekannter Softwaresicherheitsschwächen im Code bevor er in die Produktion geht. Dies bedeutet, dass sowohl Anwender wie Entwickler von Softwarequalitätswerkzeugen und dazugehöriger Dienstleistungen nunmehr einen Mechanismus zur Beschreibung jeder in der Industrie bekannten Softwareschwachstellen im Rahmen der verschiedenen CWEs zur Verfügung haben. CWE kann auch auf spezifische Sprachen, Entwicklungsrahmen, Plattformen und Maschinenarchitekturen angewandt werden.
Wie Sie weitere Informationen erhalten können
Zwecks weiterer Informationen bezüglich Nachweis von CWE und Verfügbarkeit füllen Sie bitte das LDRA Antwortformular aus, oder senden eine Email an info@ldra.com.
Die LDRA Werkzeugreihe Schlüsselmerkmale - CWE
LDRA, der führende Anbieter von Werkzeugen zur automatisierten Softwareverifizierung, der Quellcodeanalyse und anderen Testwerkzeugen hat die Kompatibilität seiner Werkzeugreihe mit der Common Weakness Enumeration (CWE) erreicht. Das CWE Projekt hat zum Ziel, dass Schwächen in Softwaresystemen besser verstanden werden und automatisierte Werkzeuge geschaffen werden, die solche Schwächen identifizieren, entfernen und vermeiden. Die CWE Kompatibilität der LDRA Werkzeugreihe bedeutet, dass sie zur Identifizierung oft auftretender Programmfehler beiträgt. Solche Programmfehler dienen oft als Einfallstor für mögliche Softwareattacken.
Die CWE kompatiblen Produkte und Dienstleistungen müssen die folgenden Kriterien erfüllen:
- CWE Suchbarkeit – Anwender sollten in der Lage nach Sicherheitselementen mittels CWE Identifizierer zu suchen
- CWE – Ausgabe – Sicherheitelemente, die Anwendern präsentiert werden, sollten damit assoziierte Identifizierer einschließen
- Abbildungsgenauigkeit – Sicherheitselemente sind exakt mit den zugehörigen CWE Identifizierern verknüpft.
- CWE Dokumentation – die Dokumentation beschreibt CWE, CWE Kompatibilität und wie die auf die CWE bezogene Funktionalität verwendet wird
Die CWE Kompatibilität der statischen und dynamischen Analysewerkzeuge von LDRA, dem LDRA Testbed und dem TBvision, hilft Firmen dabei Sicherheitsschwächen und Schwachstellen im Code aufzufinden und führt daher zur Entwicklung von Softwareanwendungen mit erhöhter Sicherheit. LDRA erreichte die CWE Kompatibilität durch ein genaues Abbilden der LDRA Werkzeugreihe auf die Codierregeln von CWE, so dass es den Modulen der LDRA Werkzeugreihe möglich ist Bezugnahmen auf Schwachstellen im Code zu identifizieren und zu dokumentieren.
CWE etabliert eine Liste von Softwareschwächen, die Anlässe liefern für effektive Diskussionen, Beschreibungen, Klassifizierung der Schwächen, sowie welche Softwaresicherheitswerkzeuge und -dienstleistungen, wie diese im Quellcode und den bereits lauffähigen Systemen aufgefunden werden. CWE stellt auch den Versuch dar die aufgefundenen Schwachstellen bereits in der Architektur- und Entwurfsphase besser zu verstehen und zu verwalten. LDRA hat alle Codierkompetenzen, die zu einer sicheren Programmierung beitragen in der LDRA Werkzeugreihe integriert.
Wie Sie weitere Informationen erhalten können
Zwecks weiterer Informationen bezüglich Nachweis von CWE und Verfügbarkeit füllen Sie bitte das LDRA Antwortformular aus, oder senden eine Email an info@ldra.com.
Downloads
Aktuelles
-
Show All
-
14th May 2013
With recent advances in automation, software is no longer a small part of electro-mechanical syste...
-
9th May 2013
Software analysis tool company, LDRA have announced that they will be giving away a copy of the MIS... -
6th May 2013
Just after the creation of the MISRA C/C++ standard by the automotive industry as a guideline for ...
Events
| 6th Jun 2013 - 8th Jun 2013 Automotive Engineering Show 2013 Chennai, India  |
| 17th Jul 2013 - 19th Jul 2013 ESC India 2013 Bengaluru, India |
| 23rd Jul 2013 RTECC Washington, DC |
Kontakteinzelheiten
| Email: | info@ldra.com |
| Tel EMEA: | + 44 (0) 151 649 9300 |
| Tel USA: | (650) 583 8880 |
| Tel India: | +91 80 4080 8707 |
Folgen Sie uns
Technische Unterstützung
Loading...