Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Netzwerke & IT-Infrastruktur > Sichere Programmierung unter C und C++

CERT C- und C++-Secure-Coding-Standards automatisiert einhalten

Sichere Programmierung unter C und C++

8. Oktober 2007, 22:57 Uhr |

Das Carnegie Mellon Software Engineering Institute (SEI) CERT Coordination Center (CERT/CC), Fortify Software, ein Anbieter von Lösungen zur Identifikation und Beseitigung von sicherheitskritischen Softwareschwachstellen, und das japanische JPCERT/CC wollen gemeinsam eine Lösung für die automatisierte Überprüfung von Software auf Einhaltung des CERT-C- und C++-Secure-Coding-Standards entwickeln. CERT/CC leitet diese Secure-Code-Initiative, als technische Basis dient die Fortify Source Code Analysis (SCA).

Art Manion, Teamleiter der Schwachstellenanalyse des CERT/CC, erklärt dazu: "Zwischen 1995 und 2006 zeigten die vom CERT/CC aus unterschiedlichen Quellen gesammelten und analysierten Daten auf, dass die Zahl der veröffentlichten Softwareschwachstellen Jahr für Jahr um 52 Prozent ansteigt. Und da Code-Fehler die häufigste Ursache für Softwareschwachstellen sind, ist es sinnvoll, das Übel bei der Wurzel zu packen und sichere Kodierungspraktiken einzusetzen." Robert Seacord, der leitende Schwachstellenanalytiker des CERT fügt hinzu, dass die hierzu entwickelten Secure-Code-Standards umfangreich und komplex seien. Das mache es für Entwickler aufwändig, sie zu lernen und umzusetzen. So wählte das Institut Fortify SCA, um Quellcode auf die Übereinstimmung mit dem Regelwerk zu überprüfen. Damit könnten sich Entwickler auf die Beseitigung von Schwachstellen konzentrieren, die sich nur schwierig automatisiert aufdecken ließen.

Das konkrete Projekt soll nun ermitteln, wie hilfreich und effektiv die Überprüfung realer Anwendungen durch automatisierte Regeln ist.

So wird das CERT/CC mithilfe von Fortify SCA erste Regeln erstellen, die es erlauben, die Übereinstimmung mit den Vorgaben des CERT-C und C++-Secure-Coding-Standards zu kontrollieren. Anfang nächsten Jahres wollen Fortify und das CERT/CC ein entsprechendes Fortify-Rulepack veröffentlichen und dem japanischen JPCERT/CC zur Verfügung stellen. Dieses wird die Lösung zusammen mit Software Research Associates für die Überprüfung mehrerer in Entwicklung befindlicher Projekte einsetzen. Im Frühjahr 2008 wollen CERT/CC und JPCERT/CC einen technischen Report mit den Ergebnissen dieser Studie veröffentlichen.

Detaillierte Informationen zum CERT Secure Coding Standard finden sich unter
www.cert.org/secure-coding.

LANline/dp

Lesen Sie mehr zum Thema

Lampertz GmbH & Co. KG
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Erweiterungen in All-in-One-Forensik-Lösung

Oxygen Forensics: Datenextraktion mit Mediatek-Chipsatz

Neue Datenarchitekturen schaffen

Denodo: Anforderungen an moderne Daten-Architekturlösungen

Hilfe bei Abwehr von Advanced Persistent Threats

Guardicore: Weitere Version von Infection Monkey

Auswahl des Managed-Security-Services-Providers

Indevis: Tipps zur Auslagerung von IT-Security-Prozessen

Anzeige

SECUDOS bietet Adhoc-Lösung für Teamarbeit vom Homeoffice

Matchmaker+
d.velop AG

d.velop AG
Riello UPS GmbH

Riello UPS GmbH
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
WatchGuard Technologies

WatchGuard Technologies
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
comTeam Systemhaus GmbH

comTeam Systemhaus GmbH