• CWE-312: Cleartext Storage of Sensitive Information

Das Produkt speichert sensible Informationen im Klartext innerhalb einer Ressource, die möglicherweise für eine andere Control Sphere zugänglich ist.

CWE-312: Cleartext Storage of Sensitive Information

CWE ID: 312
Name: Cleartext Storage of Sensitive Information

Beschreibung

Das Produkt speichert sensible Informationen im Klartext innerhalb einer Ressource, die möglicherweise für eine andere Control Sphere zugänglich ist.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Bei der Datenspeicherung in der Cloud (z.B. S3 Buckets, Azure Blobs, Google Cloud Storage, etc.) sind die Controls des Providers zu verwenden, um die Daten im Ruhezustand zu verschlüsseln. [REF-1297] [REF-1299] [REF-1301]

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: In bestimmten Systemen und Umgebungen, beispielsweise in der Cloud, kann der Einsatz von “double encryption” (auf Software- und Hardwareebene) erforderlich sein. In solchen Fällen kann der Entwickler für beide Schichten der Verschlüsselung allein verantwortlich sein, anstatt eine geteilte Verantwortung mit dem Administrator der umfassenderen System-/Umgebung zu haben.