Webinaire en vedette : Tests d'API améliorés par l'IA : une approche de test sans code | Voir le séminaire

Conformité des logiciels ISO 26262 dans l'industrie automobile

CWE - Énumération des faiblesses courantes

La CWE est une liste de vulnérabilités logicielles découvertes basée sur l'analyse des vulnérabilités signalées (CVE). La collecte des CVE et des CWE est une initiative financée par le gouvernement américain, développée par la communauté des logiciels et gérée par l'organisation MITRE. Dans son intégralité, la liste CWE contient plus de 800 éléments.

Ces 800+ éléments sont organisés en listes plus exploitables comme le célèbre Top 25 du CWE. Le Top 25 répertorie les faiblesses de sécurité les plus courantes et les plus dangereuses, qui sont toutes des exploits qui ont une forte probabilité de se produire et dont l'impact de l'exploitation de la faiblesse est important. Les faiblesses logicielles documentées par un CWE sont les logiciels impliqués dans un ensemble de vulnérabilités découvertes (documentées sous le nom de CVE) lors de l'analyse effectuée pour découvrir la cause première. Les CVE sont des vulnérabilités spécifiques observées dans des produits logiciels qui ont une définition exacte de la manière de les exploiter.

La version actuelle du Top 25 CWE date de 2011. Une mise à jour du Top 25 est actuellement en cours de réalisation, avec des liens améliorés vers les CVE et la NVD. Le classement prend en compte les informations du monde réel afin de représenter véritablement les 25 principaux problèmes de sécurité des applications actuels. Dès sa sortie, Parasoft proposera un support mis à jour pour la dernière version.

Le Top 25 actuel du CWE est répertorié ci-dessous.

Les 25 principales vulnérabilités courantes et impactantes du CWE
Les 25 principales vulnérabilités courantes et impactantes du CWE
Pour les équipes de développement qui maîtrisent bien le Top 25, il existe un autre groupe de vulnérabilités les plus courantes et les plus impactantes, appelé CWE CUSP. Une autre façon de les considérer est le Top 25 des mentions honorables.

La CWE utilise une méthode de notation des risques pour classer les 25 premières vulnérabilités (et sur le CUSP). Ce score prend en compte l'impact technique d'une faiblesse logicielle (la dangerosité d'une exploitation de la faiblesse dans le monde réel) tel que mesuré par le CWSS (système de notation des faiblesses courantes). Les exemples d'impacts techniques des vulnérabilités peuvent inclure le déni de service (DoS), le déni de service distribué (DDoS), l'accès en lecture ou en écriture à des informations protégées, l'accès non autorisé, etc.

Les détails de ces méthodes ne sont pas très importants, mais la liste triée est utile pour comprendre les vulnérabilités qui doivent être les plus préoccupantes. Par exemple, il est possible que votre application soit purement interne et que les problèmes de déni de service ne soient pas critiques pour vous. Être capable de hiérarchiser les faiblesses les plus importantes de votre application peut vous aider à surmonter la surcharge de travail liée aux violations d'analyse statique.

Top 25 de la CWE et sur le point d'atteindre la conformité

L'introduction du processus de conformité aux normes de codage dans le flux de travail de développement de l'équipe n'est pas une tâche facile. Il est donc important de sélectionner un outil qui aidera à atteindre la conformité sans imposer trop de frais généraux et sans nécessiter de procédures manuelles supplémentaires. Les points suivants sont des facteurs de décision importants lors de la sélection de la solution pour l'analyse statique.

La Top 25 CWE et son homologue moins connu, On the Cusp, ne sont pas des normes de codage à proprement parler, mais une liste de faiblesses à éviter, améliorant la sécurité. Pour être conforme à la norme CWE, un projet doit être en mesure de prouver qu'il a fait des efforts raisonnables pour détecter et éviter ces faiblesses courantes.

Les outils d'analyse statique avancés de Parasoft pour C, C++, Java et .NET sont officiellement compatibles avec CWE, offrant une détection automatisée des faiblesses Top 25 et On the Cusp (et bien d'autres). Les tableaux de bord centrés sur CWE offrent aux utilisateurs un accès rapide aux violations des normes et à l'état actuel du projet. Une configuration CWE Top 25 intégrée est disponible pour C, C++, .NET et Java et offre une couverture complète des 25 faiblesses courantes.

Capture d'écran montrant le tableau de bord de conformité CWE 4.4 - .NET de Parasoft DTP Report Center
CWE 4.4 – Tableau de bord de conformité .NET

Les outils Parasoft incluent des informations provenant du cadre d'analyse des risques CWRAF, telles que l'impact technique, afin que vous puissiez bénéficier du même type de priorisation en fonction du risque, de l'impact technique et des faiblesses trouvées dans votre code.

Les directives On the Cusp sont également disponibles. Lorsqu'elles sont activées, elles sont traitées de la même manière que les 25 premières et les rapports fournissent le même niveau de détail. Cela est utile puisque l'UL 2900 (anciennement Underwriters Laboratory) et la FDA recommandent la liste complète des directives (Top 25 + On the Cusp + OWASP Top 10). Il est possible d'intégrer d'autres directives à partir des listes CWE ou d'autres normes et directives à l'aide des configurations de vérificateur personnalisées de Parasoft selon les besoins.

Parasoft prend également en charge les rapports de conformité détaillés pour rationaliser les processus d'audit. Les tableaux de bord Web fournissent le lien vers les rapports de conformité qui donnent une image complète de la situation d'un projet. De plus, le plan de détection des faiblesses CWE met en correspondance l'entrée CWE avec les vérificateurs utilisés pour détecter la faiblesse. Cela permet d'illustrer comment la conformité a été obtenue par un auditeur, et les rapports d'audit peuvent être téléchargés au format PDF pour faciliter la création de rapports.

Capture d'écran du rapport de conformité CWE généré automatiquement par Parasoft DTP
Rapport de conformité CWE généré automatiquement
Bannière bleu foncé avec l'image d'un homme parlant à une femme tenant une tablette à la main dans une salle de serveurs.
Image d'un homme et d'une femme avec une tablette à la main en train de discuter dans une salle de serveurs.

Améliorez vos tests logiciels avec les solutions Parasoft.