PortalDerWirtschaft.de



Suchmaschinenoptimierung mit PdW
mit Content-Marketing - Ihre News
English

5G Quellcode-Überprüfung schafft Sicherheit


Von ZTE Deutschland GmbH

Thumb

Bei einem Quellcode (engl. Source Code) handelt es sich um ein grundlegendes Element für Entwickler, um ein Computerprogramm zu erstellen. Der Code enthält verschiedene Befehle, Variablen, Kommentare, Schleifen und andere Zusätze, die als Anweisungen für die Funktionsweise des Programms dienen. Dabei kann der Quellcode entweder proprietär oder offen sein – der Unterschied spiegelt sich häufig in den Lizenzvereinbarungen wider. Für Unternehmen ist die Überprüfung der Quellcodes besonders wichtig, um Schwachstellen oder unsichere Kodierungspraktiken und Fehler in der Programmierlogik zu erkennen. Außerdem stellen wir durch die Überprüfung sicher, dass Cybersecurity-Risiken minimiert und besonders sensible Geschäftsabläufe in Unternehmen geschützt werden.

Bei der White-Box-Testmethode wird die Quellcode-Überprüfung angewendet, um Schwachstellen in Bereichen zu identifizieren, in denen Black-Box- oder Grey-Box-Testtechniken schwer anzuwenden sind oder gar versagen. Mögliche Angriffspunktekönnen hier etwa die falsche Identifizierung von Fehlern oder Ausnahmeregelungen, Zugriffskontrollen und mögliche Anwenderlogikprobleme oder auch unsichere Kodierungsverfahren und Fehlerbehebungen sein – kurzum: Bei der Überprüfung des Quellcodes liegt der Schwerpunkt auf den Details der Code-Implementierung und den Prinzipien bei der Umsetzung innerhalb des Programms. Ein solcher Ansatz eignet sich für eine umfassende Überprüfung des Codes, insbesondere im Hinblick auf Fehler und Auffälligkeiten. Darüber hinaus kann dieser Vorgang in Kombination mit Penetrationstests einen Großteil der Anwendungsschwachstellen wirksam abdecken. Dabei handelt es sich um einen Aspekt, der für uns besonders bei Trendtechnologien wie 5G von großer Bedeutung ist.

 

Sicherheit im 5G-Netz

Ein 5G-Netz ist ein Konglomerat aus verschiedenen Komponenten wie Hardware-Ausrüstung und Software-Ressourcen. Gemeinsam können diese durch programmierte Quellcodes zur Unterstützung der Datenübertragung und der Netzkommunikation gesteuert werden. 5G-Innovationen wie Software Defined Networks (SDN), Network Function Virtualization (NFV), Network Slicing sowie viele weitere Funktionalitäten sind das Ergebnis von Quellcodes, die von Programmierern entwickelt wurden. In diesem Zusammenhang ist die Überprüfung des Quellcodes ein branchenweit anerkanntes Verfahren, um die Cybersicherheit zu gewährleisten. Das Source Code Review-Verfahren wird dabei von vielen Software-Anbietern übernommen und umgesetzt. Auf Grundlage der CERT Specification und der Common Weakness Enumeration (CWE) haben wir eine Reihe von Secure Coding-Spezifikationen als eigene gängige Praxis der Quellcodeüberprüfung entwickelt, die noch strenger und anspruchsvoller als die üblichen Standards sind. Darüber hinaus dient die Prüfung des Quellcodes als unverzichtbare Maßnahme zur Erkennung und Eindämmung von Risiken.

 

Source Code Review-Verfahren

Einige fragen sich jetzt vielleicht, wie ein Source Code Review durchgeführt wird und worauf sich das Verfahren konzentriert. Kurz gesagt ist die Quelltextprüfung ein Prozess, der aus einer Kombination von manuellen Prüfungen und automatischen Abläufen besteht. Während des Entwicklungsprozesses, der von sogenannten First-Line-Teams durchgeführt wird, sind Code-Walkthrough, Abnahme und Systemtests unerlässlich, um Risiken zu vermeiden. Automatische Code-Review-Tools bieten dabei eine effiziente Methode zur Analyse des Quellcodes. Wir verwenden diese Tools bereits in unserem Entwicklungslebenszyklus, um Entwicklern bei der Identifizierung von Fehlern oder Schwachstellen zu helfen. Mithilfe eines manuellen Code-Walkthrough, der ebenfalls ein verbindlicher Schritt vor der Fertigstellung des Quellcodes ist, können wir die meisten positiven und negativen Falschmeldungen identifizieren.

Bei der manuellen Code-Überprüfung ist es nicht leicht, Fehler durch einfaches Betrachten des Codes zu entdecken. Deswegen ist es notwendig, den Code zusätzlich auszuführen und dabei genauer zu analysieren. Der Code-Review von ZTE besteht dabei aus verschiedenen Analysen. Am Anfang des Prozesses steht die Überprüfung, ob der allgemeine Entwurf das widerspiegelt, was durch das Projekt festgelegt wurde. Dabei wird untersucht, ob dieser Teil des Codes genau so funktioniert, wie er vom Entwickler programmiert wurde, ob seine Kontinuität gewährleistet ist und ob die Grundsätze hinsichtlich „Security by Design und Default“ eingehalten werden.

Als zusätzliche Sicherheitsmaßnahme wird dann vom sogenannten „Second-Line-of-Defense“-Team eine unabhängige Überprüfung des Quellcodes durchgeführt. Hierbei wird die Codequalität ein weiteres Mal „Zeile für Zeile“ manuell überprüft und zusätzlich mithilfe von automatischen Tools kontrolliert. Das Second-Line-Team setzt sich aus der Sicherheitsabteilung von ZTE und dem Cybersecurity Lab zusammen.

Zudem analysieren die Entwickler, ob alle gewünschten Merkmale berücksichtigt werden, sollten während der Ausführung unerwartete Fehler auftreten. Darüber hinaus führen die Entwickler Tests durch und fügen alle möglichen Werte ein, um Fehler auszuschließen, die von einem Angreifer ausgenutzt werden könnten. Im Falle eines „Bruchs" prüfen wir außerdem, ob der Code auch widerstandsfähig gegen einen unerwarteten Angriff ist.

 

Quellcode-Überprüfung bei ZTE

ZTE lässt seine Quellcodes mehrfach von unabhängigen Dritten überprüfen. Dazu zählen unter anderem das Router Operation System (ROSng) der nächsten Generation, das eine leistungsstarke Unterstützung für das 5G-Transportnetzwerk in Bezug auf Netzwerkprotokolle bietet. Dieses wurde Anfang des Jahres im Rahmen einer erfolgreichen Zusammenarbeit mit Branchenführern von einem führenden Cybersecurity-Unternehmen im European Cybersecurity Lab in Brüssel getestet. Auch die Elastic Network Automation Platform (ZENAP) von ZTE, die Unterstützung für die F&E-Implementierung, den kommerziellen Einsatz sowie die Bereitstellung, Wartung und Instandhaltung von Anwendungen im SDN/NFV/5G/IoT bietet, wurde vom NETAS im Italy Lab in Rom geprüft. Die Ergebnisse der Testberichte haben dazu geführt, dass unser F&E-Team bei den Sicherheitsdesigns und der -entwicklung neu inspiriert wurde und diese überdacht hat. Als führender Anbieter, der sich der kontinuierlichen Verbesserung seiner Produkte verschrieben hat, nutzen wir bei ZTE die Ergebnisse sowohl interner als auch die Bewertungen unabhängiger Dritter, um unsere Entwicklungsverfahren kontinuierlich zu verbessern.

Cybersicherheit hat für die Forschung und Entwicklung neuer Produkte sowie für die Services von ZTE stets höchste Priorität. Zur Umsetzung unserer Sicherheitsvision suchen wir kontinuierlich nach kreativen Methoden, um noch tiefer in das Thema Cybersicherheit einzudringen, indem wir beispielsweise unsere Forschung und Entwicklung stetig verbessern und mit führenden externen Partnern kooperieren. Das Telekommunikations-Ökosystem setzt sich aus verschiedenen Bereichen zusammen, die einzigartig und unersetzlich sind, genau wie die Entwickler, Tester und alle anderen Akteure, die für die Sicherheit des Quellcodes verantwortlich sind. Ein sicheres Netzwerk erfordert die Zusammenarbeit aller Akteure, um den Stellenwert der Cybersicherheit insgesamt zu erhöhen. Gemeinsam mit Kunden und Regulierungsbehörden setzen wir uns für eine erweiterte Zusammenarbeit und Kommunikation ein, um eine bessere digitale Zukunft zu ermöglichen.

 

Autor: Alessandro Bassano, Director of Cybersecurity Lab und Head of Cybersecurity Italien bei ZTE, einem international führenden Anbieter von Lösungen für die Telekommunikationsbranche sowie für Unternehmens- und Privatkunden im Bereich mobiles Internet.


Kommentare

Bewerten Sie diesen Artikel
Bewertung dieser Pressemitteilung 5 Bewertung dieser Pressemitteilung 1 Bewertung bisher (Durchschnitt: 3)
Hinweis Für den Inhalt der Pressemitteilung ist der Einsteller, LEWIS Communications (Tel.: 021188247636), verantwortlich.

Pressemitteilungstext: 969 Wörter, 7981 Zeichen. Artikel reklamieren
Keywords
Diese Pressemitteilung wurde erstellt, um bei Google besser gefunden zu werden.

Tragen Sie jetzt Ihre kostenlose Pressemitteilung ein!