• CWE-547: Use of Hard-coded, Security-relevant Constants

Das Produkt verwendet fest codierte Konstanten anstelle von symbolischen Namen für security-kritische Werte, was die Wahrscheinlichkeit von Fehlern während der Code-Wartung oder bei Änderungen der Security Policy erhöht.

CWE-547: Use of Hard-coded, Security-relevant Constants

CWE ID: 547
Name: Use of Hard-coded, Security-relevant Constants

Beschreibung

Das Produkt verwendet fest codierte Konstanten anstelle von symbolischen Namen für security-kritische Werte, was die Wahrscheinlichkeit von Fehlern während der Code-Wartung oder bei Änderungen der Security Policy erhöht.

Erweiterte Beschreibung

Sollte der Entwickler nicht alle Vorkommnisse der fest codierten Konstanten identifizieren, kann eine fehlerhafte Policy-Entscheidung getroffen werden, falls eine dieser Konstanten nicht angepasst wird. Änderungen dieser Werte erfordern Code-Modifikationen, die nach der Freigabe des Systems in die Produktion schwierig oder unmöglich zu implementieren sein können. Darüber hinaus könnten diese fest codierten Werte Angreifern zur Verfügung stehen, falls der Code jemals offengelegt wird.

Risikominderungsmaßnahmen

Maßnahme (Implementation)

Effektivität: Unknown
Beschreibung: Vermeiden Sie die Verwendung von hard-coded Konstanten. Konfigurationsdateien bieten eine flexiblere Lösung.