CWE ID: 212
Name: Improper Removal of Sensitive Information Before Storage or Transfer
Das Produkt speichert, überträgt oder teilt eine Ressource, die sensible Informationen enthält, ohne diese Informationen vor der Bereitstellung für unautorisierte Akteure ordnungsgemäß zu entfernen. Dies stellt ein erhebliches Risiko für die Vertraulichkeit der Daten dar und erfordert eine sofortige Überprüfung der Data Handling Prozesse.
Effektivität: Unknown
Beschreibung: Es ist eindeutig festzulegen, welche Informationen als privat oder sensibel betrachtet werden müssen. Darüber hinaus ist es erforderlich, dass das Produkt Funktionalitäten bereitstellt, die dem Nutzer ermöglichen, die sensiblen Informationen aus der Ressource zu bereinigen, bevor diese veröffentlicht oder an Dritte exportiert wird. Dies sollte eine umfassende Data Sanitization ermöglichen.
Effektivität: Defense in Depth
Beschreibung: Die Verwendung von Namenskonventionen und starke Typisierung soll die Erkennung der Verwendung sensibler Daten erleichtern. Bei der Erstellung von Strukturen, Objekten oder anderen komplexen Entitäten ist die Trennung sensibler und nicht-sensibler Daten so weit wie möglich zu gewährleisten. Dies unterstützt eine bessere Code-Review und reduziert das Risiko von unbeabsichtigten Data Leaks.
Notizen: Dies erleichtert die Identifizierung von Stellen im Code, an denen Daten ohne Encryption verwendet werden.
Effektivität: Unknown
Beschreibung: Vermeiden Sie Fehler im Zusammenhang mit unsachgemäßem Resource Shutdown oder Release (CWE-404), welche dazu führen könnten, dass sensible Daten innerhalb des Resources verbleiben, falls dieses sich in einem unvollständigen Zustand ist.
