Seminario web destacado: Pruebas de API mejoradas con IA: un enfoque de prueba sin código | Vea ahora

Conformidad de software ISO 26262 en la industria automotriz

Certificado SEI/CERT

Parasoft ofrece Soporte completo para CERT C y CERT C++ Estándares de codificación seguros con cobertura completa de todas las pautas CERT C/C++, incluidas las reglas y recomendaciones que se pueden detectar mediante análisis estático. Los nombres de los comprobadores, los paneles y los informes utilizan la convención de nomenclatura CERT para facilitar la conformidad y la auditoría. Un panel de conformidad CERT, que incluye la puntuación de riesgo CERT, ayuda a los desarrolladores a centrarse en las infracciones más críticas.

El Equipo de Respuesta a Emergencias Informáticas (CERT) del Instituto de Ingeniería de Software (SEI) tiene un conjunto de pautas para ayudar a los desarrolladores a crear software más seguro y confiable. El primer estándar C del CERT, que comenzó en 2006 en una reunión del Comité de Estándares C, se publicó en 2008 y está en constante desarrollo y evolución.

Hay una versión en formato de libro publicada en 2016, pero no incluye las últimas actualizaciones. Este estándar no tiene versiones congeladas específicas como CWE Top 25 y OWASP Top 10. El estándar surgió de una gran comunidad de más de 3,000 personas con un enfoque en la ingeniería y la prevención. Por lo tanto, los estándares de codificación segura de CERT se centran en la prevención de las causas fundamentales de las vulnerabilidades de seguridad en lugar de tratar o gestionar los síntomas mediante la búsqueda de vulnerabilidades.

El proyecto de Pautas de codificación del CERT Están disponibles para C, C++, Java, Perl y Android. Se dividen en dos categorías principales: reglas y recomendaciones.

Las reglas son pautas que pueden detectarse mediante herramientas de análisis estático y que requieren una aplicación estricta, mientras que las recomendaciones son pautas que tienen un impacto menor y, a veces, son difíciles de analizar automáticamente.

El CERT incluye un sistema de evaluación de riesgos que combina la probabilidad de ocurrencia, la gravedad y la dificultad relativa de mitigación. Esto ayuda a los desarrolladores a priorizar qué violaciones de las pautas son las más importantes para investigar. La inclusión de esfuerzos de mitigación en la prioridad de las pautas es una adición importante a los estándares de codificación segura del CERT, de los que carecen muchos otros estándares.

El diagrama de diana de CERT refleja el factor de costo. La diana central representa las pautas de mayor gravedad, que son más difíciles de solucionar. El beneficio de esta priorización es centrarse en las infracciones más críticas que brindan el mayor beneficio por la inversión en mejoras de seguridad, al tiempo que ayudan al equipo de desarrollo a filtrar las advertencias menos importantes.

Diagrama de diana de severidad de SEI CERT
Diagrama de diana de severidad de SEI CERT

Conformidad con SEI CERT C/C++

Según la documentación SEI CERT C, conformidad “requiere que el código no contenga ninguna violación de las reglas especificadas en esta norma. Si se alega una condición excepcional, la excepción debe corresponder a una condición excepcional predefinida y la aplicación de esta excepción debe estar documentada en el código fuente”.

Aunque la conformidad es menos específica que las normas como MISRA, los principios siguen siendo similares. Las reglas deben seguirse y las desviaciones son poco frecuentes y están bien documentadas. Se deben utilizar recomendaciones cuando sea posible y las que no sean necesarias deben documentarse.

Las infracciones que persistan en el código fuente deben documentarse. Sin embargo, no se acepta ninguna desviación en el rendimiento o la usabilidad y es responsabilidad del desarrollador demostrar que la desviación no generará una vulnerabilidad.

Parasoft C/C++test ofrece un panel de control y reportes de cumplimiento de CERT completos. Los reportes de cumplimiento individuales están disponibles a pedido según la última versión del software o cualquier versión anterior.

Estos informes se pueden ordenar y explorar para investigar las infracciones con más detalle. Además, hay disponible un plan de pruebas de conformidad para correlacionar la directriz CERT con el verificador de análisis estático de Parasoft adecuado y es una herramienta importante si se necesita documentación de conformidad para fines de auditoría. Además, todos los informes interesantes especificados por el equipo están disponibles en un único PDF disponible para que los auditores los descarguen.

Panel de control de cumplimiento de CERT del DTP
Panel de control de cumplimiento de CERT del DTP

Informe de cumplimiento de CERT generado automáticamente
Informe de cumplimiento de CERT generado automáticamente

Compatibilidad con CERT C/C++ en Parasoft C/C++test

Parasoft proporciona soporte integral para los estándares de codificación segura CERT C y CERT C++ con cobertura completa de todos los Directrices CERT C/C++ Incluye tanto reglas como recomendaciones que se pueden detectar mediante análisis estático. Los nombres de los comprobadores, los paneles y los informes utilizan la convención de nomenclatura CERT para facilitar la conformidad y la auditoría. Un panel de conformidad CERT, que incluye la puntuación de riesgo CERT, ayuda a los desarrolladores a centrarse en las infracciones más críticas.

Pancarta azul oscuro con imagen de un hombre hablando con una mujer sosteniendo una tableta en la mano en una sala de servidores.
Imagen de un hombre y una mujer con una tableta en la mano conversando en una sala de servidores.

Mejore sus pruebas de software con las soluciones de Parasoft.