高達90%的軟體安全問題是由編碼錯誤引起的。這就是為什麼安全編碼比以往任何時候都更重要的原因。要編寫安全代碼,您需要一個編碼標準。
什麼是安全編碼標準?
安全編碼標準是用來防止安全漏洞的規則和指南。有效使用,安全編碼標準可以防止,檢測和消除可能危及軟體安全的錯誤。
為什麼C和C 中的安全編碼很重要
#安全編碼對每個開發團隊都很重要。它對C和C 程式語言尤其重要。
C和C 是嵌入式開發的首選語言 - 安全性和安全性至關重要。那是因為它們是靈活的高效能語言。但靈活性和性能帶來成本風險。
因此,嵌入式開發人員需要使用C和C 編寫安全程式碼。
什麼是CWE? CWE安全簡介
在常見的弱點中列舉(CWE)是C和C 軟體安全漏洞的清單。 CWE列表是基於社群回饋進行編譯。它由MITRE公司贊助。
最新版本的CWE - CWE 3.1 - 於2018年發布。
CWE安全弱點清單包含600多個類別,例如:
1.緩衝區溢位
2.跨站腳本
3.不安全的隨機數字
您可以使用此清單來識別程式碼中的潛在弱點。
CERT安全與安全編碼規則
CERT是一種安全的編碼標準。它由卡內基美隆大學軟體工程研究所的CERT部門開發。這種安全編碼標準適用於C和C 。
CERT針對不安全的編碼實務和導致安全風險的未定義行為。使用CERT安全規則將幫助您識別現有程式碼中的安全性問題,並防止引入有安全風險的新問題。
CERT C和C 編碼標準解決了許多CWE的缺點。
MISRA安全規則
MISRA C也提供規則以確保安全編碼。
MISRA C:2012包含兩個著重於安全性的附錄。這些映射了MISRA C針對CERT C和ISO / IEC TS 17961:2013「C Secure」的規則。
如何應用安全編碼標準
確保C和C 安全編碼的最佳方法是使用靜態程式碼分析器。
靜態程式碼分析器強制執行編碼規則並標記安全違規。 Helix QAC附帶程式碼安全模組 - CERT,MISRA和CWE - 以確保安全的軟體。
包括:
1.完整記錄的規則執行和訊息解釋。
2.廣泛的範例程式碼。
3.完全可設定的規則處理。
4.安全審核的合規性報告。
CERT符合Helix QAC
Helix QAC的CERT合規性模組可辨識C和C 代碼中的安全違規。 CERT安全規則可提高程式碼的安全性和品質。 Helix QAC會根據CERT的安全編碼規則自動檢查您的程式碼。
此模組支援2016版CERT C和CERT C 編碼標準。
MISRA合成規模塊
Helix QAC的MISRA合規模組可提高C和C 程式碼的安全性。您可以使用這些模組自動尋找程式碼中的安全漏洞。您可以使用Helix QAC建立MISRA合規性報告。
這些模組支援MISRA C:2012和MISRA C :2008安全規則。
CWE與Helix QAC的相容性
Helix QAC的CWE相容性模組可識別C和C 程式碼中的弱點。您可以使用這些模組來提高程式碼庫的整體安全性。此外,Helix QAC報告了CWE合規性方面的程式碼分析結果。
以上是為什麼安全編碼標準很重要的詳細內容。更多資訊請關注PHP中文網其他相關文章!