Konkrete Kritik an CVSS4
Marc Ruef
Angewandte Computersicherheit ist eigentlich relativ simpel:
Eine Schwachstelle entsteht dann, wenn auf Grund fehlender Limitierungen eine Zugriffsmöglichkeit entsteht, die so nicht gewollt war. In Bezug auf die Programmierung bedeutet dies, dass man unvertrauenswürdigen Daten vertraut und auf der Basis dieser uneingeschränkt Zugriffe durchführen lässt.
Eine Auswertung verschiedener Verwundbarkeitsdatenbanken (scip VulDB, Securityfocus, Secunia und OSVDB) sollte zeigen, welche Klasse von Fehlern vorzugsweise zu einer in der Öffentlichkeit wahrgenommenen Schwachstelle führt.
Die soeben gezeigte Grafik illustriert die nachfolgend vorgetragenen Ableitungen.
Bei dieser Betrachtung ist auffällig, dass wirklich ein Grossteil der Fehler auf die Unpässlichkeit bei der Entwicklung zurückzuführen ist. Es ist also in erster Linie stets und ausschliesslich die Aufgabe des Entwicklers, ein sicheres Produkt zu entwerfen und umzusetzen.
Lediglich in Bezug auf Speicherschutzverletzungen, die an zweiter Stelle genannt wurden, können partiell ungünstige technische Grundvoraussetzungen vorgeschoben werden. Werden denn Sprachen eingesetzt, die die manuelle Verwaltung des Speichers erfordern – allen voran C/C++ -, steigt das Risiko der Einführung von Sicherheitsproblemen um nahezu 16%.
Die sichere Architektur eines Produkts, die Wahl einer soliden Programmiersprache ohne schwer bewältigende Komplexität sowie das Durchsetzen umfassender Eingabe- sowie Fehlerüberprüfung helfen also dabei, die wichtigsten Sicherheitsprobleme bei der Software-Entwicklung in den Griff zu kriegen.
Unsere Spezialisten kontaktieren Sie gern!
Marc Ruef
Marc Ruef
Marc Ruef
Marc Ruef
Unsere Spezialisten kontaktieren Sie gern!