Seminario web destacado: Pruebas de API mejoradas con IA: un enfoque de prueba sin código | Vea ahora

Conformidad de software ISO 26262 en la industria automotriz

CWE - Enumeración de debilidades comunes

CWE es una lista de debilidades de software descubiertas en base al análisis de vulnerabilidades reportadas (CVE). La colección de CVE y CWE es una iniciativa financiada por el gobierno de los EE. UU. desarrollada por la comunidad de software y administrada por la organización MITRE. En su totalidad, la lista CWE contiene más de 800 elementos.

Estos más de 800 elementos están organizados en listas más útiles, como la conocida CWE Top 25. La lista Top 25 enumera las debilidades de seguridad más comunes y peligrosas, que son todas vulnerabilidades que tienen una alta probabilidad de ocurrir y el impacto de explotar la debilidad es grande. Las debilidades de software documentadas por una CWE son el software implicado en un conjunto de vulnerabilidades descubiertas (documentadas como CVE) cuando se realizó un análisis para descubrir la causa raíz. Las CVE son vulnerabilidades específicas observadas en productos de software que tienen una definición exacta de cómo explotarlas.

La versión actual de CWE Top 25 es de 2011. Actualmente se está elaborando una versión actualizada de Top 25 con enlaces mejorados a CVE y NVD. La clasificación tiene en cuenta información del mundo real para que represente verdaderamente los 25 principales problemas de seguridad de las aplicaciones en la actualidad. Tan pronto como se publique, Parasoft tendrá soporte actualizado para la última versión.

El Top 25 actual de CWE se enumera a continuación.

Las 25 vulnerabilidades más comunes e impactantes según CWE
Las 25 vulnerabilidades más comunes e impactantes según CWE
Para los equipos de software que tienen un buen conocimiento de las 25 principales vulnerabilidades, existe otra agrupación de las siguientes vulnerabilidades más comunes e impactantes denominada CWE CUSP. Otra forma de pensar en ellas son las 25 principales menciones honoríficas.

El proyecto de CWE utiliza un método de puntuación de riesgo para clasificar a los 25 mejores (y en el CUSP). Esta puntuación tiene en cuenta el impacto técnico de una debilidad del software (qué tan peligroso es explotar la debilidad en el mundo real) medido por el CWSS (sistema común de puntuación de debilidades). Algunos ejemplos de impactos técnicos de las vulnerabilidades pueden incluir la denegación de servicio (DoS), la denegación de servicio distribuida (DDoS), el acceso de lectura o escritura a información protegida, el acceso no autorizado, etc.

Los detalles de estos métodos no son demasiado importantes, pero la lista ordenada es útil para comprender qué vulnerabilidades son las que más deben preocuparle. Por ejemplo, es posible que su aplicación sea puramente interna y que los problemas de denegación de servicio no sean críticos para usted. Poder priorizar las debilidades más importantes de su aplicación puede ayudar a superar la sobrecarga con las violaciones del análisis estático.

CWE Top 25 y cumplimiento en la cúspide

Introducir el proceso de cumplimiento de estándares de codificación en el flujo de trabajo de desarrollo del equipo no es una tarea fácil. Por ello, es importante seleccionar una herramienta que ayude a lograr el cumplimiento sin imponer demasiada carga de trabajo y sin la necesidad de procedimientos manuales adicionales. Los siguientes puntos son factores importantes para la toma de decisiones al seleccionar la solución para el análisis estático.

El proyecto de Los 25 mejores de CWE y su pariente menos conocido, On the Cusp, no son estándares de codificación en sí, sino una lista de debilidades que se deben evitar para mejorar la seguridad. Para cumplir con CWE, un proyecto debe poder demostrar que ha realizado esfuerzos razonables para detectar y evitar estas debilidades comunes.

Las herramientas avanzadas de análisis estático de Parasoft para C, C++, Java y .NET son oficialmente compatibles con CWE y proporcionan detección automática de las 25 principales debilidades y de On the Cusp (y muchas más). Los paneles de control centrados en CWE brindan a los usuarios un acceso rápido a las violaciones de estándares y al estado actual del proyecto. Hay disponible una configuración CWE Top 25 incorporada para C, C++, .NET y Java que cubre por completo las 25 debilidades comunes.

Captura de pantalla que muestra el panel de cumplimiento de CWE 4.4 - .NET de Parasoft DTP Report Center
CWE 4.4 – Panel de control de cumplimiento de .NET

Las herramientas de Parasoft incluyen información del marco de análisis de riesgos CWRAF, como el impacto técnico, para que pueda beneficiarse del mismo tipo de priorización en función del riesgo, el impacto técnico y las debilidades encontradas en su código.

Las pautas On the Cusp también están disponibles. Cuando están habilitadas, se tratan de la misma manera que las 25 principales y los informes brindan el mismo nivel de detalle. Esto es útil ya que la UL 2900 (anteriormente Underwriters Laboratory) y la FDA recomiendan la lista completa de pautas (Top 25 + On the Cusp + OWASP Top 10). Es posible integrar otras pautas de las listas de CWE u otros estándares y pautas utilizando las configuraciones de verificación personalizadas de Parasoft según sea necesario.

Parasoft también admite informes detallados de cumplimiento para agilizar los procesos de auditoría. Los paneles web proporcionan un enlace a los informes de cumplimiento que ofrecen una imagen completa de la situación de un proyecto. Además, el plan de detección de debilidades de CWE relaciona la entrada de CWE con los comprobadores que se utilizan para detectar la debilidad. Esto ayuda a ilustrar cómo un auditor logró el cumplimiento, y los informes de auditoría están disponibles para descargarse en formato PDF para facilitar la elaboración de informes.

Captura de pantalla del informe de cumplimiento de CWE generado automáticamente por Parasoft DTP
Informe de cumplimiento de CWE generado automáticamente
Pancarta azul oscuro con imagen de un hombre hablando con una mujer sosteniendo una tableta en la mano en una sala de servidores.
Imagen de un hombre y una mujer con una tableta en la mano conversando en una sala de servidores.

Mejore sus pruebas de software con las soluciones de Parasoft.