Pourquoi les normes de codage sécurisées sont importantes

Jusqu'à 90 % des problèmes de sécurité logicielle sont causés par des erreurs de codage. C'est pourquoi un codage sécurisé est plus important que jamais. Pour écrire du code sécurisé, vous avez besoin d’une norme de codage.

Quelles sont les normes de codage sécurisé ?

Les normes de codage sécurisé sont les règles et directives utilisées pour prévenir les failles de sécurité. Utilisées efficacement, les normes de codage sécurisées peuvent prévenir, détecter et éliminer les bogues susceptibles de compromettre la sécurité des logiciels.

Pourquoi le codage sécurisé en C et C++ est important

Le codage sécurisé est important pour chaque équipe de développement. C’est particulièrement important pour les langages de programmation C et C++.

C et C++ sont les langages de choix pour le développement embarqué - la sûreté et la sécurité sont primordiales. C'est parce qu'il s'agit de langages flexibles et performants. Mais la flexibilité et les performances s’accompagnent de risques en termes de coûts.

Par conséquent, les développeurs embarqués doivent écrire du code sécurisé en utilisant C et C++.

Qu'est-ce que la CWE ? Introduction à la sécurité CWE

La Common Weakness Enumeration (CWE) est une liste de vulnérabilités de sécurité dans les logiciels C et C++. Les listes CWE sont compilées sur la base des commentaires de la communauté. Il est sponsorisé par MITRE Corporation.

La dernière version de CWE - CWE 3.1 - est sortie en 2018.

La liste des vulnérabilités de sécurité CWE comprend plus de 600 catégories, telles que :

1. Débordement de tampon

2. Scripts intersites

3. de nombres aléatoires

Vous pouvez utiliser cette liste pour identifier les faiblesses potentielles de votre code.

Règles de sécurité et de codage sécurisé CERT

CERT est une norme de codage sécurisé. Il a été développé par la division CERT de l'Institut de génie logiciel de l'Université Carnegie Mellon. Cette norme de codage sécurisé s’applique au C et au C++.

CERT cible les pratiques de codage non sécurisées et les comportements indéfinis qui entraînent des risques de sécurité. L'utilisation des règles de sécurité CERT vous aidera à identifier les problèmes de sécurité dans le code existant et à empêcher l'introduction de nouveaux problèmes présentant des risques de sécurité.

Les normes de codage CERT C et C++ répondent à de nombreuses lacunes de CWE.

Règles de sécurité MISRA

MISRA C fournit également des règles pour garantir un codage sécurisé.

MISRA C:2012 comprend deux annexes axées sur la sécurité. Celles-ci mappent les règles MISRA C pour CERT C et ISO/IEC TS 17961:2013 « C Secure ».

Comment appliquer les normes de codage sécurisé

La meilleure façon de garantir un codage sécurisé en C et C++ est d'utiliser un analyseur de code statique.

L'analyseur de code statique applique les règles de codage et signale les violations de sécurité. Helix QAC est livré avec des modules de sécurité de code - CERT, MISRA et CWE - pour garantir la sécurité des logiciels.

Comprend :

1. Exécution des règles et interprétation des messages entièrement documentées.

2. Exemple de code complet.

3. Traitement des règles entièrement configurable.

4. Rapport de conformité pour l'audit de sécurité.

Conforme CERT avec Helix QAC

Le module de conformité CERT d'Helix QAC identifie les violations de sécurité dans le code C et C++. Les règles de sécurité CERT améliorent la sécurité et la qualité de votre code. Helix QAC vérifie automatiquement votre code par rapport aux règles de codage sécurisées du CERT.

Ce module prend en charge la version 2016 des normes de codage CERT C et CERT C++.

Module de conformité MISRA

Le module de conformité MISRA d'Helix QAC améliore la sécurité de votre code C et C++. Vous pouvez utiliser ces modules pour rechercher automatiquement les failles de sécurité dans votre code. Vous pouvez utiliser Helix QAC pour créer des rapports de conformité MISRA.

Ces modules prennent en charge les règles de sécurité MISRA C:2012 et MISRA C++:2008.

Compatibilité CWE avec Helix QAC

Le module de compatibilité CWE d'Helix QAC identifie les faiblesses du code C et C++. Vous pouvez utiliser ces modules pour améliorer la sécurité globale de votre base de code. De plus, Helix QAC rapporte les résultats de l’analyse du code pour la conformité CWE.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!