A Simple Error: Safety, Security or both?
Aside from safety properties, can static analysis tools be used to detect security issues? Yes, as we will show by discussing a programming error in uftpd, an ftp server implemented in…
Mehr lesen
Einhaltung der CERT Secure Coding Standards
Die CERT C/C++ Secure Coding Standards werden vom Computer Emergency Response Team Coordination Center (CERT/CC) des Software Engineering Institute (SEI) zusammengestellt, um funktionale Sicherheit, Zuverlässigkeit und Sicherheit von Softwaresystemen bei der Software-Entwicklung zu erzielen. Die CERT C und C++ Guideline-Checker der Axivion Suite decken deshalb viele der für eingebettete Sicherheitsfunktionen in Embedded Software relevanten, entscheidbaren CERT Regeln ab.
Geschärfter Blick für Sicherheitsrisiken und sauberen Code
Für Sicherheitsprobleme anfällige Code-Konstrukte werden durch die CERT C/C++ Guideline-Checker automatisiert aufgedeckt. Dadurch kann Ihr Entwicklungsteam zielgerichtet sichere Codierungspraktiken nach CERT C/C++ anwenden. Entwicklungsbegleitend schärfen so alle Teammitglieder ihren Blick für Fallstricke und Risiken im Code: Von array out-of-bounds bis zum return value from all exit paths.
Einfache Fokussierung im Tagesgeschäft verringert Risiken
Axivions einzigartiger Delta-Mechanismus hilft Ihnen und Ihrem Team, sich auf die tägliche Arbeit zu fokussieren: sicheren Code zu schreiben. In Reviews können durch die Delta-Analyse CERT-Regelverletzungen, die durch die Arbeit an Sprints, Releases, Feature Branches usw. entstanden sind, einfach und unkompliziert identifiziert werden.
Einfache Integration in IDEs und CI-Umgebungen
Die Ergebnisse des CERT Checkers von Axivion integrieren sich in eine Vielzahl von IDEs und CI-Umgebungen. Dies ermöglicht eine einfache Integration in Ihre Prozesse von lokalen Prüfungen bis hin zu voll ausgebauten automatisierten Prüfungen in der CI. Alles mit derselben Konfiguration und denselben Ergebnissen. Durch die CLI- und Scripting-Fähigkeiten der Axivion Suite lässt sich der CERT Checker in praktisch alle praxisrelevanten Umgebungen integrieren.
Einfache Prozessintegration ins Security Quality Management
Die Axivion Suite liefert Ihnen zentrale Bausteine für die code-nahen Bereiche Ihres Security Quality Managements: Durch die Severity-Einstufung von Regeln und Regelgruppen können Sie Ihre Arbeit priorisieren. Mittels Justifications lassen sich Abweichungen von den CERT-Regeln im Arbeitsprozess strukturiert und systematisch behandeln, um standardkonform zu entwickeln. Durch Anwenden verschiedener Delta-Intervalle können Verläufe über die Entwicklung hinweg betrachtet und ausgewertet werden. Automatisiert generierte Reports über die CERT-Compliance Ihres Codes erleichtern Ihnen die Dokumentation.
Der Delta-Mechanismus in der Praxis
So sieht der Delta-Mechanismus auf Entwicklerebene im Beispiel aus:
Die Liste zeigt Änderungen von CERT-Verstößen im ausgewählten Zeitfenster. Im ausgewählten Zeitraum zwischen Anfang und Ende 2010 wurden 40 neue Verstöße eingeführt, aber auch sechs CERT-Verstöße behoben. In der Code-Ansicht werden die neuen Verstöße farblich hervorgehoben.
Die statischen Analysen der Axivion Suite helfen Ihnen, Sicherheitsrisiken bei der Entwicklung zu erkennen und zu verringern.