Quellcode kann proprietär oder Open Source sein, und Lizenzvereinbarungen spiegeln diese Unterscheidung häufig wider. Um Cybersicherheitslücken, unsichere Programmierpraktiken und Programmierfehler zu identifizieren, müssen Unternehmen, die Sicherheitsrisiken minimieren und kritische Geschäftsfunktionen unterstützen wollen, diesem wichtigen Thema daher besondere Aufmerksamkeit widmen.
Als White-Box-Testmethode dient die Quellcodeanalyse dazu, Schwachstellen in Bereichen aufzudecken, in denen Black-Box- oder Gray-Box-Testverfahren schwer zu erkennen sind oder versagen. Dazu gehören unsichere Programmierpraktiken, Probleme mit der Kryptografie, fehlerhafte Ausnahmebehandlung, unsichere Fehler oder potenzielle Logikprobleme. Vereinfacht gesagt, konzentriert sich die Quellcodeanalyse auf die Implementierungsdetails des Codes und die Prinzipien seiner Ausführung. Dieser Ansatz eignet sich hervorragend für umfassende Code-Reviews, insbesondere im Hinblick auf Fehler und Anomalien in atypischen Szenarien. In Kombination mit Penetrationstests lassen sich die meisten Anwendungsschwachstellen effektiv beheben – ein besonders relevanter Aspekt im Umgang mit neuen Technologien wie 5G.
In einem 5G-Netzwerk bestehen die Komponenten aus Hardware- und Software-Ressourcen, die durch von Entwicklern geschriebenen Quellcode gesteuert werden, um Datenübertragung und Netzwerkkommunikation zu ermöglichen. Software-Defined Networking (SDN), Network Functions Virtualization (NFV), Network Slicing und zahlreiche weitere 5G-Innovationen basieren auf diesem Quellcode. In diesem Kontext gilt die Überprüfung des Quellcodes als branchenweit bewährte Methode zur Gewährleistung der Software-Cybersicherheit und wird von vielen Softwareanbietern angewendet. Basierend auf der CERT-Spezifikation und der Common Weaknesses Enumeration (CWE) hat ZTE eigene, noch strengere und umfassendere Richtlinien für die Überprüfung von Quellcode entwickelt. Diese werden zudem als obligatorische Maßnahme zur Erkennung und Minderung von Risiken eingesetzt.
Wie man eine Quellcodeüberprüfung durchführt.
Kurz gesagt, ist die Quellcode-Überprüfung ein Prozess, der manuelle Prüfungen mit automatisierten Tools kombiniert. Während des Entwicklungsprozesses, der von den Entwicklerteams durchgeführt wird, sind Code-Reviews, Abnahmetests und Systemtests unerlässlich, um Risiken zu minimieren. Automatisierte Tools für die statische Code-Überprüfung bieten eine effiziente Möglichkeit zur Quellcodeanalyse. Wir integrieren diese Tools in unseren Entwicklungszyklus, um Entwickler bei der Identifizierung von Fehlern und Sicherheitslücken zu unterstützen. Mithilfe eines manuellen Code-Walkthroughs, der ebenfalls ein obligatorischer Schritt vor der finalen Freigabe des Quellcodes ist, können wir die meisten Fehlalarme und falsch-negativen Ergebnisse identifizieren.
Bei der manuellen Codeüberprüfung lassen sich Fehler nicht einfach durch bloßes Lesen des Codes erkennen; dazu ist auch eine sorgfältigere Ausführung und Analyse erforderlich. Der Codeüberprüfungsprozess von ZTE umfasst mehrere Analysen. Zunächst wird geprüft, ob das Gesamtdesign den Projektspezifikationen entspricht. Anschließend wird untersucht, ob der jeweilige Codeabschnitt exakt wie von den Entwicklern vorgesehen funktioniert, ob seine Konsistenz gewährleistet ist und ob die Prinzipien der Sicherheit durch Design und standardmäßig eingehalten wurden.
Eine unabhängige Überprüfung des Quellcodes durch eine zweite Verteidigungslinie stellt eine zusätzliche Sicherheitsmaßnahme dar. Diese umfasst manuelle, zeilenweise Prüfungen sowie den Einsatz automatisierter Tools zur weiteren Bewertung der Codequalität. Die Sicherheitsabteilung und das Cybersecurity Lab von ZTE bilden diese zweite Verteidigungslinie.
Die Entwickler sind dafür verantwortlich, zu analysieren, ob alle erwarteten Eigenschaften auch bei unerwarteten Fehlern während der Ausführung erhalten bleiben. Sie führen Tests durch und testen alle möglichen Werte, um sicherzustellen, dass keine Fehler auftreten, die von Angreifern ausgenutzt werden könnten. Im Falle eines Ausfalls prüfen die Entwickler, ob der Code auch gegen unerwartete Angriffe resistent ist.
Wir haben die von mehreren externen Organisationen durchgeführten Analysen mit Bravour bestanden.
Anfang dieses Jahres wurde dank der erfolgreichen Zusammenarbeit mit führenden Unternehmen der Cybersicherheitsbranche der Quellcode für ZTEs Next Generation Routers Operating System (ROSng), das eine leistungsstarke Unterstützung für das 5G-Transportnetz in Bezug auf Netzwerkprotokolle bietet, von einem führenden Unternehmen der Cybersicherheitsbranche im European Cybersecurity Lab in Brüssel überprüft.
Die Elastic Network Automation Platform (ZENAP) von ZTE, die die Implementierung in Forschung und Entwicklung, den kommerziellen Einsatz, die Bereitstellung sowie den Betrieb und die Wartung von SDN/NFV/5G/IoT-Anwendungen unterstützt, wurde von NETAS in dessen italienischem Labor in Rom geprüft. Die Testergebnisse veranlassten das Forschungs- und Entwicklungsteam, das Sicherheitsdesign und die Entwicklung zu überdenken. Als führender Anbieter, der sich der kontinuierlichen Produktverbesserung verschrieben hat, nutzt ZTE alle internen und externen Bewertungsergebnisse, um seine Entwicklungsprozesse stetig zu optimieren.
Cybersicherheit als oberste Priorität für Forschung und Entwicklung.
Cybersicherheit hat bei ZTE in der Produktentwicklung und im Servicebereich stets höchste Priorität. Daher strebt das Unternehmen kontinuierlich danach, durch die Kombination von Forschung und Entwicklung mit externen Kooperationen führender Partner innovative Methoden einzuführen, um die Cybersicherheit weiter zu verbessern. Das Telekommunikationsökosystem umfasst verschiedene einzigartige und unersetzliche Rollen, darunter Entwickler, Analysten und andere Fachkräfte, die gemeinsam für sicheren Quellcode sorgen. Ein sicheres Netzwerk erfordert die Zusammenarbeit aller Beteiligten, um die Standards für Cybersicherheit kontinuierlich zu erhöhen. ZTE engagiert sich für eine breitere Zusammenarbeit und Kommunikation, um eine bessere digitale Zukunft für alle zu gestalten.
Autor: Alessandro Bassano, Direktor des Zentrums und Leiter der Cybersicherheit bei ZTE in Italien.
