Beherrschbare Secure Coding Guidelines – Maßgeschneiderte Überprüfung auf Sicherheits-Schwachstellen im Code

Coding Standards wie SEI CERT beinhalten eine Vielzahl von Regeln, die auf potenzielle Lücken und Schwachstellen im Code hinweisen können. Das Anwenden der Regeln bei der Suche nach
Schwachstellen führt allerdings meist noch zu einer hohen Anzahl an „False-Positives“Schwachstellen.
Also nicht jede scheinbare Bedrohung ist eine reale Bedrohung für die untersuchten Komponenten beziehungsweise die Kritikalität der Bedrohung ist nicht immer signifikant.

Entwickler und Qualitätssicherer sehen sich daher einer immensen Zahl an nicht beherrschbaren Warnungen gegenüber, die nicht selten dazu führt, das die Analyse aus Zeitgründen nicht weiterverfolgt wird.

Der hier vorgestellte Ansatz, mit Hilfe von Bedrohungs- und Risikoanalysen eine projektspezifische Selektion priorisierter Secure-Coding-Regeln vorzunehmen, ermöglicht ein reduziertes und beherrschbares Analyseergebnis, mit Fokus auf die im Vorfeld identifizierten Bedrohungen.

Vorkenntnisse

Kenntnisse über statische Codeanalysen, Durchführung von Bedrohungsanalysen oder CERT-Regeln wären wünschenswert, sind aber nicht notwendig.

Lernziele

Praxisnaher Anwendungsbericht über die sinnvolle Einbindung von Secure Coding Guidelines in statischen Codeanalysen, mit Beispielen gängiger Werkzeuge.