Beherrschbare Secure Coding Guidelines – Maßgeschneiderte Überprüfung auf Sicherheits-Schwachstellen im Code
Coding Standards wie SEI CERT beinhalten eine Vielzahl von Regeln, die auf potenzielle Lücken und Schwachstellen im Code hinweisen können. Das Anwenden der Regeln bei der Suche nach Schwachstellen führt allerdings meist noch zu einer hohen Anzahl an „False-Positives“Schwachstellen.
Also nicht jede scheinbare Bedrohung ist eine reale Bedrohung für die untersuchten Komponenten beziehungsweise die Kritikalität der Bedrohung ist nicht immer signifikant.
Entwickler und Qualitätssicherer sehen sich daher einer immensen Zahl an nicht beherrschbaren Warnungen gegenüber, die nicht selten dazu führt, das die Analyse aus Zeitgründen nicht weiterverfolgt wird.
Der hier vorgestellte Ansatz, mit Hilfe von Bedrohungs- und Risikoanalysen eine projektspezifische Selektion priorisierter Secure-Coding-Regeln vorzunehmen, ermöglicht ein reduziertes und beherrschbares Analyseergebnis, mit Fokus auf die im Vorfeld identifizierten Bedrohungen.
Vorkenntnisse
Kenntnisse über statische Codeanalysen, Durchführung von Bedrohungsanalysen oder CERT-Regeln wären wünschenswert, sind aber nicht notwendig.
Lernziele
Praxisnaher Anwendungsbericht über die sinnvolle Einbindung von Secure Coding Guidelines in statischen Codeanalysen, mit Beispielen gängiger Werkzeuge.