Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Parasofts Testwerkzeuge unterstützen neue CWE Top 25

Mit dem Support und Compliance Reporting für die aktualisierten MITRE-Sicherheitsregeln ist Parasoft beim Thema gut aufgestellt.

In Pocket speichern vorlesen Druckansicht
Parasofts Testwerkzeuge unterstützen neue CWE Top 25

(Bild: Parasoft)

Lesezeit: 2 Min.
Developer
Von
  • Alexander Neumann

Mit den neuen Releases seiner Softwaretest-Produkte Jtest, dotTEST und C/C++test deckt Parasoft nun die kritischen Security-Richtlinien der dieses Jahr aktualisierten Top 25 der Common Weakness Enumeration (CWE) sowie der "On the Cusp"-Liste (mit weiteren 15 Schwachstellen) ab. Die von Parasoft angebotenen CWE Compliance Packs für C/C++, Java und .NET enthalten vorkonfigurierte und anpassbare Testkonfigurationen sowie Reports für die beiden genannten Security-Standards.

Die Parasoft-Produkte sind als CWE-kompatibel zertifiziert. Dadurch können Anwender während der Konfiguration, der Fehlerbehebung und des Reportings erkennen, der statische Analyse-Checker zu welchem Punkt der CWE-Liste gehört. Mit dem CWE-orientierten Modell von Parasoft sind sämtliche Checker auf Basis der zugehörigen CWE-ID benannt. Dadurch erübrigt sich offenbar ein zeitraubendes Zuordnen beim Konfigurieren, beim Reporting und bei der Problembeseitigung. Das unmittelbar angezeigte Feedback von Parasoft gibt Anwendern außerdem einen kontinuierlichen Einblick auf den Stand der CWE-Konformität, und zwar durch interaktive Compliance-Dashboards, Widgets und Reports, bei denen der CWE Risk Technical Impact im Dashboard implementiert ist.

Wurden die Listen traditionell noch aus den zusammengefassten Ergebnissen von Erhebungen erstellt, die verschiedene Unternehmen über die Häufigkeit und Wichtigkeit von Schwachstellen durchgeführt hatten, beruht die von CWE unlängst angekündigte neue Generation der Top-25- und der "On the Cusp"-Liste auf einem wohl objektiveren, datengetriebenen Prozess, der auf Informationen von Common Vulnerability Enumeration (CVE), NIST und National Vulnerability Database (NVD) zurückgreift.

Diese Informationen berücksichtigen den CVSS-Wert (Common Vulnerability Scoring System) einer jeden Schwachstelle oder CVE. Dazu gehören auch Angaben darüber, wie verbreitet eine bestimmte Sicherheitslücke ist, wie schwierig sie von einem Angreifer auszunutzen wäre und welche Auswirkungen die bei einem Exploit auftretenden Schäden haben könnten.

Weitere Informationen zum Zusammenspiel der CWE-Top-25-Liste mit Parasofts Werkzeugen finden sich auf der Website des Herstellers. (ane)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten