Schwachstellen identifizieren Statische Code-Analyse mit Security-Berichten

Der Security-Bericht zeigt den Trend für die drei wichtigsten Schwachstellen.
Der Security-Bericht zeigt den Trend für die drei wichtigsten Schwachstellen.

Klocwork ist ein Werkzeug zur tiefgehenden statischen Analyse von Software, die in C/C++, Java und C# geschrieben ist. In der neuesten Version 2017.1 gibt es nun auch Security-Berichte, die den Security-Status und den Trend für die Security-Schwachstellen zeigen.

Die Security-Berichte basieren auf bekannten Security-Regeln, wie beispielsweise den 25 wichtigsten Regeln der Common Weakness Enumeration (CWE Top 25), den Regeln des Computer Emergency Response Team (CERT) der Carnegie Mellon Universität (SEI) für die Programmiersprache C (CERT-C) oder die Security Technical Implementation Guides der Defense Information Systems Agency (DISA-STIG). Klocwork erkennt die Verletzungen dieser Regeln bei der Analyse und zeigt sie als Trends an. Voraussetzung ist natürlich, dass mehrere Analysen im Laufe der Zeit durchgeführt werden. Diese Berichte sind in erster Linie zur Information für das Management gedacht und lassen sich einfach durch Drag&Drop zusammenstellen.

Darüber hinaus enthält Klocwork 2017.1 (Vertrieb: Hitex) 49 zusätzliche Prüfungen für Security-Regeln aus CERT-C. Zusätzlich sind zwei neue Prüfungen enthalten, um Security-Schwachstellen in Java-Programmen aufzudecken: CWE-311: Missing Encryption of Sensitive Data und CWE-352: Cross Site Request Forgery.