Webinaire en vedette : Tests d'API améliorés par l'IA : une approche de test sans code | Voir le séminaire
SEI/CERT
Parasoft fournit prise en charge complète de CERT C et CERT C++ normes de codage sécurisées avec une couverture complète de toutes les directives C/C++ du CERT, y compris les règles et recommandations détectables par analyse statique. Les noms, tableaux de bord et rapports des vérificateurs utilisent la convention de dénomination CERT pour faciliter la conformité et l'audit. Un tableau de bord de conformité CERT, qui inclut le score de risque CERT, aide les développeurs à se concentrer sur les violations les plus critiques.
L'équipe d'intervention d'urgence informatique (CERT) du Software Engineering Institute (SEI) dispose d'un ensemble de directives pour aider les développeurs à créer des logiciels plus sûrs, plus sécurisés et plus fiables. Lancée en 2006 lors d'une réunion du Comité de normalisation C, la première norme CERT a été publiée en 2008 et est en constante évolution.
Il existe une version sous forme de livre publiée en 2016, mais elle n'inclut pas les dernières mises à jour. Cette norme n'a pas de versions spécifiques gelées comme CWE Top 25 et OWASP Top 10. La norme est née d'une large communauté de plus de 3,000 XNUMX personnes axées sur l'ingénierie et la prévention. Les normes de codage sécurisé du CERT se concentrent donc sur la prévention des causes profondes des vulnérabilités de sécurité plutôt que sur le traitement ou la gestion des symptômes en recherchant les vulnérabilités.
La Lignes directrices pour le codage CERT sont disponibles pour C, C++, Java, Perl et Android. Elles se répartissent en deux catégories principales : les règles et les recommandations.
Les règles sont des lignes directrices détectables par les outils d’analyse statique et nécessitent une application stricte, tandis que les recommandations sont des lignes directrices qui ont un impact moindre et sont parfois difficiles à analyser automatiquement.
Le CERT comprend un système d'évaluation des risques qui combine la probabilité d'occurrence, la gravité et la difficulté relative de l'atténuation. Cela aide les développeurs à hiérarchiser les violations des directives qu'il est le plus important d'examiner. L'inclusion des efforts d'atténuation dans la priorité des directives est un ajout important aux normes de codage sécurisé du CERT, qui manque à de nombreuses autres normes.
Le diagramme en forme de cible du CERT reflète le facteur coût. La cible centrale représente les directives les plus graves, qui sont plus difficiles à corriger. L'avantage de cette priorisation est de se concentrer sur les violations les plus critiques qui offrent le meilleur rapport qualité-prix en termes d'amélioration de la sécurité tout en aidant l'équipe de développement à filtrer les avertissements moins importants.
Conformité SEI CERT C/C++
Selon la documentation SEI CERT C, conformité « exige que le code ne contienne aucune violation des règles spécifiées dans cette norme. Si une condition exceptionnelle est invoquée, l'exception doit correspondre à une condition exceptionnelle prédéfinie et l'application de cette exception doit être documentée dans le code source. »
Bien que la conformité soit moins spécifique que les normes telles que MISRA, les principes restent similaires. Les règles doivent être respectées et les écarts sont rares et bien documentés. Les recommandations doivent être utilisées lorsque cela est possible et celles qui ne sont pas nécessaires doivent être documentées.
Les violations qui persistent dans le code source doivent être documentées. Cependant, aucun écart n'est acceptable en termes de performances ou de facilité d'utilisation et il incombe au développeur de démontrer que l'écart n'entraînera pas de vulnérabilité.
Parasoft C/C++test fournit un tableau de bord et des rapports de conformité CERT complets. Des rapports de conformité individuels sont disponibles à la demande en fonction de la dernière version du logiciel ou de toute version précédente.
Ces rapports peuvent être triés et consultés pour enquêter plus en détail sur les violations. De plus, un plan de test de conformité est disponible pour corréler la directive CERT avec le vérificateur d'analyse statique Parasoft approprié et constitue un outil important si une documentation de conformité est nécessaire à des fins d'audit. De plus, tous les rapports intéressants spécifiés par l'équipe sont disponibles dans un seul PDF téléchargeable pour les auditeurs.
Prise en charge de CERT C/C++ dans le test Parasoft C/C++
Parasoft fournit un support complet pour les normes de codage sécurisé CERT C et CERT C++ avec une couverture complète de toutes les Lignes directrices du CERT C/C++ y compris les règles et les recommandations détectables par analyse statique. Les noms, les tableaux de bord et les rapports du vérificateur utilisent la convention de dénomination CERT pour faciliter la conformité et l'audit. Un tableau de bord de conformité CERT, qui inclut le score de risque CERT, aide les développeurs à se concentrer sur les violations les plus critiques.
Améliorez vos tests logiciels avec les solutions Parasoft.
Explorez les chapitres
- Introduction "
- 1. Aperçu »
- 2. Analyse statique »
- 3. MISRA »
- 4. AUTOSAR C++ 14 »
- 5. SEI/CERT »
- 6. CWE »
- 7. Tests unitaires »
- 8. Tests de régression »
- 9. Tests d'intégration de logiciels »
- 10. Test du système logiciel »
- 11. Couverture du code structurel »
- 12. Matrice de traçabilité des exigences »
- 13. Qualification des outils »
- 14. Rapports et analyses »