Découvrez comment intégrer facilement l'analyse statique, les tests unitaires et d'autres méthodes de test de logiciels C et C++ dans votre pipeline CI/CD. Inscrivez-vous pour la démo >>

Tout sur CWE : énumération des faiblesses communes

Par Ricardo Camacho

12 août 2021

5  min lire

La cybersécurité est une question d'atténuation et de prévention lorsqu'il s'agit de CWE ou d'énumération des faiblesses courantes. La société Mitre gère le système de catégories CWE qui répertorie les différentes vulnérabilités.

Il fonctionne aux côtés de la base de données nationale des vulnérabilités des États-Unis ou NVD, la collecte de données de gestion des vulnérabilités basée sur des normes gérées par le gouvernement fédéral. Le NIST ou National Institute of Standards and Technology supervise le NVD. OWASP, l'Open Web Application Security Project® à but non lucratif et open source, travaille également avec diligence pour renforcer la sécurité des informations Web.

Dans ce blog, nous passerons en revue tout ce que vous devez savoir pour comprendre les faiblesses des logiciels et la cybersécurité générale dans le développement de logiciels. De plus, il explique également comment les utiliser au mieux. Comme pour tout, nous devons commencer par les bases et devenir plus granulaires à partir de là. Ce blog couvrira :

  1. Qu'est-ce que CWE en matière de sécurité ?
  2. Qu'est-ce que le logiciel CWE ?
  3. Combien y a-t-il de CWE ?
  4. Quelles sont les conditions qui vous rendent vulnérable ?
  5. Quels sont les exemples de vulnérabilité ?
  6. Comment mesure-t-on la vulnérabilité ?
  7. Qu'est-ce que le score d'énumération des faiblesses communes ?
  8. Qu'est-ce que CWE vs CVE ?

Image du logo de la société Mitre en photo noir et blanc

Qu'est-ce que CWE ?

Il existe de nombreux acronymes dans tous les secteurs, mais CWE en est un important pour la sécurité des logiciels. Les outils d'analyse statique et de sécurité doivent s'appuyer sur une connaissance de ce qu'il faut rechercher et de la manière d'approcher le niveau de risque idéal adapté à votre projet.

CWE cherche à rendre la gestion des vulnérabilités plus rationalisée et accessible. Le catalogue développé par la communauté présente les faiblesses matérielles et logicielles et est décrit comme "un langage commun, un outil de mesure pour les outils de sécurité et une base de référence pour les efforts d'identification, d'atténuation et de prévention des faiblesses".

À qui appartient CWE ?

Comme mentionné, Mitre Corporation possède et entretient le CWE. Ils gèrent également des FFRDC ou des centres de recherche et développement financés par le gouvernement fédéral pour le département américain de la Sécurité intérieure, ainsi que des agences dans les domaines de la santé, de l'aviation, de la défense et, bien sûr, de la cybersécurité.

La liste CWE compile les vulnérabilités et les expositions courantes qui peuvent aider les programmeurs et les développeurs de logiciels à maintenir la sécurité des informations. Après tout, le respect des politiques de sécurité tout au long du cycle de développement est beaucoup plus facile à gérer que les stratégies post-violation.

Combien y a-t-il de CWE ?

Il n'y a qu'un seul CWE géré par Mitre Corporation. Cependant, cette liste contient plus de 600 catégories. Sa dernière version (3.2) est sortie en janvier 2019.

Code source sur un écran à la recherche de faiblesses logicielles

Qu'est-ce que le logiciel CWE ?

Les catégories pour CWE vont de tout, comme SEI CERT Oracle Coding Standard pour Java aux faiblesses sans modèles de défaillance logicielle. Heureusement, la taxonomie, l'organisation et l'accessibilité des catégories se classent très haut.

Le catalogue utilise un système numéroté sous les trois principaux domaines de vulnérabilité :

VoirFonction
Développement de LogicielsLes concepts sont regroupés par fréquence de rencontre ou d'utilisation dans le développement de code source.
Conception de matérielLes faiblesses couramment observées ou utilisées dans la conception du matériel sont regroupées.
Concepts de rechercheAfin de faciliter la recherche sur les problèmes communs, les éléments sont regroupés par leurs comportements.

Par exemple, CWE-89 traite de la façon dont les failles SQL Injection se produisent, mais également des liens vers des sections CWE utiles pour atténuer davantage les faiblesses de sécurité.

CWE contre CVE

CVE est un acronyme pour les vulnérabilités et les expositions courantes. En bref : la différence entre CVE vs. CWE est que l'un traite les symptômes tandis que l'autre traite une cause. Si le CWE catégorise les types de vulnérabilités logicielles, le CVE est simplement une liste des problèmes actuellement connus concernant des systèmes et des produits spécifiques.

L'US-CERT parraine le projet et Mitre le supervise également. Le maintien du contrôle de sécurité pour l'assurance logicielle peut utiliser CVE, mais il n'est pas aussi intégral que CWE. Cependant, il est facilement compatible CWE, une fonctionnalité assurée par Mitre.

Quelles sont les conditions qui vous rendent vulnérable ?

L'identification des points de faiblesse de sécurité les plus dangereux est à la hauteur de la CWE. Les catégories peuvent vous aider à identifier exactement ce qui compromet vos systèmes et à le réparer. Quant aux conditions qui vous rendent le plus vulnérable, cela concerne souvent les plus courantes.

Quelle est la vulnérabilité la plus courante ?

La détermination de la vulnérabilité logicielle la plus courante dépend de nombreuses variables. Après tout, les défis auxquels la sécurité des applications Web est confrontée ne sont pas les mêmes que ceux des programmes hors ligne. Mais qu'il s'agisse d'une injection de commande SQL, d'un problème php, d'un tampon mémoire ou même d'éléments spéciaux, le CWE peut aider 99% du temps.

Les catégories CWE courantes et les vulnérabilités de sécurité incluent :

  • Script inter-site
  • Débordements de tampon
  • Mots de passe codés en dur
  • Erreurs de parcours d'arborescence/chemin de répertoire
  • Condition de course
  • Authentification cassée
  • Défauts d'injection
  • Contrôle d'accès cassé
  • Entités externes XML
  • Désérialisation non sécurisée

L'homme est assis dans la salle de contrôle du lancement de missiles pendant le décollage et travaille sur un système embarqué

Vs intégrés. Entreprise CWE

Connaître les types de sécurité des applications dont vous avez besoin est crucial pour tout projet. La portée du projet dictera vos points faibles. Par exemple, utilisez-vous la sécurité cloud ? Cela signifie que vous pouvez vous concentrer sur la prévention des pertes de données et la sécurité des applications.

Mais savoir si un système est une entreprise ou un système embarqué joue aussi un grand rôle.

Système d'entreprise

La communication se fait via Internet, ce qui signifie beaucoup de vulnérabilité et de risques, en particulier par rapport aux systèmes embarqués. La sécurité du réseau n'est pas aussi facile à assurer, la gestion des vulnérabilités est donc essentielle.

Système embarqué

Ces programmes sont souvent écrits en C ou C++. Pensez à des choses comme les stimulateurs cardiaques, les réfrigérateurs et les systèmes de missiles. La communication passe entre les systèmes embarqués, de sorte que les outils d'analyse statique et l'énumération des faiblesses courantes peuvent identifier les problèmes.

Meilleures pratiques d'utilisation des outils d'analyse statique

Image numérique du graphique linéaire pour la notation CWE

Qu'est-ce que la notation de l'énumération des faiblesses communes ?

L'organe de tutelle a quatre méthodologies:

  1. Cadre commun d'analyse des risques de faiblesse (CWRAF™). Ceci est utilisé avec CWSS™ pour fournir à une entreprise sa propre liste numérotée Top X des faiblesses les plus courantes.
  2. Prioriser les faiblesses en fonction de la mission de votre organisation. Toutes les entreprises n'ont pas besoin de tout réparer en même temps. Cette méthode vous permet de répondre à vos besoins les plus urgents d'une manière qui préserve l'intégrité, la fiabilité et la fonctionnalité de votre logiciel.
  3. CWE Top 25 des erreurs logicielles les plus dangereuses. Mitre met à jour cette liste de temps en temps avec l'aide de plus de 20 spécialistes de l'industrie. Il contient les faiblesses les plus courantes, comme noté pour l'époque.
  4. Système de notation des faiblesses communes (CWSS™). Le CWSS™ permet aux développeurs de hiérarchiser les problèmes avec flexibilité, collaboration et cohérence.
Un aperçu du Top 25 CWE et des dernières mises à jour à venir

Comment mesurons-nous la vulnérabilité ?

Le CWSS™ aide les développeurs à passer au crible des centaines de bogues qui peuvent être trouvés dans leur code. Cependant, des outils automatisés peuvent également être utilisés pour la notation personnalisée et les analyses de vulnérabilité, mais gardez à l'esprit que chaque outil produira son propre score.

CWSS™ utilise les éléments suivants pour maintenir la cohérence :

  • Un cadre commun favorise l'uniformité et la facilité d'utilisation et d'accès.
  • Mesures quantitatives peut aider les équipes à déterminer la portée d'un correctif.
  • Priorisation personnalisée fonctionne avec CWRAF™ pour aider les utilisateurs à trouver les types de faiblesses les plus urgents afin d'améliorer leur logiciel et leur sécurité.

Imagerie numérique abstraite pour afficher le débordement de la mémoire tampon et l'importance de la cybersécurité pour CWE

En savoir plus sur les outils compatibles CWE et CWE

Trouver et corriger des bogues reste une cible en constante évolution. Mais avoir les bons outils dans votre arsenal peut rendre le processus beaucoup plus rationalisé, simple et automatisé. Ne laissez pas vos faiblesses s'ajouter à des vulnérabilités massives. Commencez petit pour voir de gros gains sur la route.

Texte en police blanche sur fond bleu foncé: cybersécurité intégrée grâce à des normes de codage sécurisées. Bouton rouge avec une police blanche sous le titre: Télécharger le livre blanc.

Par Ricardo Camacho

Directeur technique principal du marketing des produits pour les solutions de test embarquées de Parasoft, Ricardo possède une expertise dans le SDLC et l'automatisation des tests d'applications embarquées en temps réel, critiques pour la sécurité et la sécurité, et la conformité des logiciels aux normes de l'industrie.

Recevez les dernières nouvelles et ressources sur les tests de logiciels dans votre boîte de réception.