Beherrschbare Secure Coding Guidelines – Maßgeschneiderte Überprüfung auf Sicherheits-Schwachstellen im Code

Coding Standards wie SEI CERT beinhalten eine Vielzahl von Regeln, die auf potenzielle Lücken und Schwachstellen im Code hinweisen können. Das Anwenden der Regeln bei der Suche nach
Schwachstellen führt allerdings meist noch zu einer hohen Anzahl an „False-Positives“Schwachstellen.
Also nicht jede scheinbare Bedrohung ist eine reale Bedrohung für die untersuchten Komponenten beziehungsweise die Kritikalität der Bedrohung ist nicht immer signifikant.

Entwickler und Qualitätssicherer sehen sich daher einer immensen Zahl an nicht beherrschbaren Warnungen gegenüber, die nicht selten dazu führt, das die Analyse aus Zeitgründen nicht weiterverfolgt wird.

Der hier vorgestellte Ansatz, mit Hilfe von Bedrohungs- und Risikoanalysen eine projektspezifische Selektion priorisierter Secure-Coding-Regeln vorzunehmen, ermöglicht ein reduziertes und beherrschbares Analyseergebnis, mit Fokus auf die im Vorfeld identifizierten Bedrohungen.

Vorkenntnisse

Kenntnisse über statische Codeanalysen, Durchführung von Bedrohungsanalysen oder CERT-Regeln wären wünschenswert, sind aber nicht notwendig.

Lernziele

Praxisnaher Anwendungsbericht über die sinnvolle Einbindung von Secure Coding Guidelines in statischen Codeanalysen, mit Beispielen gängiger Werkzeuge.

 

Speaker

 

Michael Eisenbarth
Michael Eisenbarth ist Leiter des Fachbereichs "Verteilte Sicherheit" bei der comlet Verteilte Systeme GmbH in Zweibrücken. Davor arbeitete er zwölf Jahre bei der Fraunhofer Gesellschaft, zuletzt als Abteilungsleiter für den Bereich Information Systems Quality Assurance, sowie bei der proALPHA Business Solutions als Produktmanager International Business und Intercompany.

David Tarnow
David Tarnow ist Entwickler eingebetteter Software bei der comlet Verteilte Systeme GmbH und beschäftigt sich u.a. mit der Integration statischer Codeanalyse-Werkzeuge in den Entwicklungsprozess.

Gold-Sponsoren

RIGS IT
WIBU Systems

Silber-Sponsoren

COTECH
RIPS Technologies

heise-devSec-Newsletter

Sie möchten über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden