组织名称:
GrammaTech公司。 网站:
www.grammatech.com
兼容的能力:
CodeSonar 能力主页:
http://www.grammatech.com/products/codesonar
一般能力问题 产品可访问性< CR_2.4 >
提供的一个简短的描述和你的能力在哪里得到你的客户和公众(必需):
CodeSonar销售合同。在购买,客户提供安装材料适合他们的平台或平台。
一旦安装完毕,CodeSonar分析软件和问题警告为每个漏洞检测。这些警告和其他分析工件被存储在一个中央中心通过一个基于web的界面,浏览使用一个普通的web浏览器。
每个警告包括有关CWE-ID (s),如果有的话;每个CWE-ID提出产品的web GUI与CWE的官方网站。用户可以搜索和排序集CWE的警告。机制提供以便客户实现自定义检查可以指定CWE-IDs他们认为与这些有关检查,如果他们想这么做。
映射的问题 地图货币显示< CR_6.1 >
描述和你的能力表明最近CWE内容用于创建或更新其映射(必需):
手册中的部分,介绍了常见弱点枚举州CWE的版本软件的基于(见组映射图1)。
图1所示。CodeSonar手动截图显示CWE版本通知。
地图货币更新方法< CR_6.2 >
表示你打算多久更新映射,以反映当前CWE内容和描述你的方法来保持合理电流与CWE当他们映射到存储库的内容(推荐):
每次我们写一个新的支票,我们创建一个CWE映射。产品的任何公开发布之前,我们复习所有的映射。我们改变CWE监测和审查映射每次相关变化。
文档的问题 CWE和兼容性文档< CR_5.1 >
提供一个副本,或者它的位置的方向,您的文档描述CWE的为客户和CWE兼容性(必需):
CWE CWE兼容性和手动部分中描述题为“CWE:列举常见的弱点”。这是可以通过手册目录所示图2。用户还可以随时定位部分使用手册的搜索功能(见图3)或指数(见图4)。
手册的一个完整副本部分提供在附录中,看到<CR_5.4>详情。
图2。CodeSonar手册:CWE部分中列出的目录。
图3。CodeSonar手册:高级搜索结果“CWE”。
图4。“CWE CodeSonar手册:索引条目”。
文档使用CWE找到元素标识符< CR_5.2 >
提供一个副本,或者它的位置的方向,你的文档描述了你的客户如何使用的具体细节CWE标识符查找个人安全元素在你能力的存储库(必需的):
手动部分题为“CWE:常见的弱点枚举”(见<CR_5.1>)有一个小节“CWE-ID CodeSonar:搜索”,这也解释了如何寻找包含一个或多个特定CWE-IDs警告。本节所示图5。一份完整的部分提供在附录中,看到<CR_5.4>详情。
图5。由CWE-ID CodeSonar手册:搜索。
找到CWE的文档标识符使用元素< CR_5.3 >
提供一个副本,或者它的位置的方向,您的文档描述了过程的用户会发现CWE标识符与个人安全元素在你能力的存储库(必需):
手动部分题为“CWE:常见的弱点枚举”(见<CR_5.1>)有一个小节“CodeSonar:定位CWE-IDs警告”,这也解释了如何查看CWE ID或ID相关联的一系列警告或警告。本节所示图6。一份完整的部分提供在附录中,看到<CR_5.4>详情。
图6。CodeSonar手册:定位CWE-IDs警告。
文档索引CWE-RELATED材料< CR_5.4 >
如果您的文档包含一个索引,提供一份项目和资源,你列在“CWE”指数。交替提供方向,这些“CWE”项目是张贴在你的网站(推荐):
“CWE”索引清单所示图4。附录中提供个人部分的副本/ indexed_CWE_pages.pdf。这些手册部分保密和不适合公共分配。
特定类型的能力问题
工具的问题 使用CWE找到任务标识符< CR_A.2.1 >
详细的例子和解释用户如何定位任务的工具通过寻找相关CWE标识符(必需):
CodeSonar GUI提供了一个简单的搜索工具头的每一页,如图所示图7。用户可以指定搜索基于CWE标识符使用这个工具,或者使用一个“高级搜索”页面。例如,假设我们要寻找相关的警告CWE: 416。图8显示了一个关键字搜索通过发行简单的搜索工具;图9显示了等效搜索通过发行高级搜索页面。结果都是一样的在这两种情况下,所示图10。
简单搜索CWE id也可以发布没有“类别”关键字(如所示图11),在这种情况下,他们被视为全文搜索。这些都是简单的指定,但可能需要更长的时间比关键字搜索,和包括结果的ID字符串出现在位置以外的“类别”字段。例如,一个不相关的警告可能已经发布了一个代码片段,包括字符串评论:这个警告会被包括在搜索结果连同任何警告,CodeSonar分析认为相关CWE: 416。
图7。CodeSonar GUI的每一页包含简单的搜索工具。
图8。使用CodeSonar简单的搜索工具找到所有与CWE相关警告:416。
图9。使用CodeSonar CWE高级搜索找到相关的所有警告:416。
图10。搜索结果CWE: 416是相同的是否使用简单的搜索工具搜索被执行死刑(图8)或高级搜索页面(图9)。
图11。全文搜索字符串“CWE: 416”。将匹配与CWE相关联的所有警告:416,加上所有警告,发生在任何领域包含该字符串。
发现CWE标识符使用元素报告< CR_A.2.2 >
给详细的例子和解释的报告,确定个人安全元素,该工具允许用户确定相关CWE标识符在报告中对个人安全元素(必需):
一个CodeSonar预警报告列出任何CWE-IDs相关警告“类别”一节,如所示图12。相同的信息也可以在表上的警告了分析页面(图13),在警告搜索结果(图14),通过一个可用的“类别”列。
图12。CodeSonar预警报告,显示相关CWE标识符的位置。
图13。警告标签的分析页面,显示可用的类别与CWE-IDs列。
图14。警告搜索结果页面,显示可用的类别与CWE-IDs列。
得到一系列声称CWE标识符覆盖< CR_A.2.3 >
详细的例子和解释用户如何获得一个清单的所有CWE标识所有者声称该工具有效地定位软件(必需):
CWE覆盖率信息的完整表可以在GrammaTech Codesonar网站:
http://www.grammatech.com/products/codesonar/CWE-Coverage-Statement.pdf。
获得与任务关联CWE标识符的列表< CR_A.2.6 >
详细的例子和解释用户如何获得一个清单的所有CWE标识符与工具的相关任务(推荐):
中提供了一个完整的表CodeSonar手册,一段名为“CWE-IDs CodeSonar助记符”。部分是通过手动现成的表的内容(图2),搜索工具(图3)和指数(图4),以及通过内部链接的手册。手册的一个完整副本部分提供在附录中,看到<CR_5.4>详情。
选择任务CWE标识符的列表< CR_A.2.7 >
详细的例子和解释用户如何获得一个清单的所有CWE标识符与工具的相关任务(推荐):
CodeSonar附带一些检查禁用。这是由一组配置文件中设置。用户可以指定一个规则之一,这些配置文件,使所有与指定的相关检查CWE标识符。
选择任务使用个人CWE标识符< CR_A.2.8 >
描述的步骤,用户会浏览、选择和取消选择一组任务的工具通过使用个人CWE标识符(推荐):
对<描述的功能CR_A.2.7>以上满足这个需求:配置规则可用于禁用CWE-ID以及让他们检查。
媒体的问题
电子文档格式信息< B.3.1 >
提供详细信息您提供的不同的电子文档格式,并描述如何寻找特定CWE-related文本(必需):
位于CodeSonar CWE-related内容可以通过目录手册(图2),搜索工具(图3)和指数(图4),如前面描述的那样。手册还支持全文搜索个人CWE标识符。例如,图15显示了搜索的结果“CWE: 416”:描述的搜索返回CWE映射文档页面<CR_5.2>和<CR_5.3>,以及CodeSonar文档页面使用后免费警告类,它与CWE: 416。
图15。搜索的结果“CWE: 416”CodeSonar手册。
CWE-IDs中包含三种类型的页面内CodeSonar GUI。在所有情况下都包含在“类别”字段,也用于存储其他分类信息(如十规则数字的力量,在适用情况下)。
- 一个预警报告(图12)包含完整信息发布的一个警告CodeSonar分析,和总是包含一个类别字段。这个页面类型默认生成的HTML格式的,但可以为文本或XML检索。搜索:
- HTML:使用web客户端“发现”功能。
- 文本:使用web客户端“发现”功能,或者保存文件并使用任何文本搜索工具。
- XML:使用XML观众“发现”功能,或者解析<目录>元素(每一个都描述了一个给定类别的警告)。<类别>元素包含一个url属性;对于CWE-IDs,这指向CWE网站上的文档ID。
- 的警告选项卡(图13)的一个分析页面包含一个表发出的预警分析。这个表不包括类别列默认情况下,但如果他们希望用户可以添加一个。这个页面类型默认生成HTML格式,但可以检索CSV或XML。
- HTML:使用web客户端“发现”功能。
- CSV:使用CSV观众“发现”功能,或者检查标记“类别”列。
- XML:使用XML观众“发现”功能,或者解析<类别>元素(每一个都包含所有类别对于一个给定的警告,作为一个单独的字符串)。
- W警报的搜索结果(图14)提出了警告。这个表不包括类别列默认情况下,但如果他们希望用户可以添加一个。这个页面类型默认生成HTML格式,但可以检索CSV或XML。
- HTML:使用web客户端“发现”功能。
- CSV:使用CSV观众“发现”功能,或者检查标记“类别”列。
- XML:使用XML观众“发现”功能,或者解析<类别>元素(每一个都包含所有类别对于一个给定的警告,作为一个单独的字符串)。
(XML模式在未来可能会改变,但总是随产品方便引用)。
电子文档清单CWE的标识符< CR_B.3.2 >
如果一个人的能力的标准电子文档列表安全元素的短名称或标题提供示例文档演示如何列出相关CWE标识符为每个单独的安全元素(必需):
每个警告类的文档提供了一套完整的描述以及直接链接到CWE的定义任何CWE-IDs有关。看到图16了一个例子。
图16。CWE-IDs相关警告类文档包含一个列表,每个链接到其定义CWE网站上。
电子文档元素CWE标识符< CR_B.3.3 >
提供示例文档演示功能的单个元素映射到各自CWE标识符(s)(推荐):
看到答案<CR_A.2.6>。
图形用户界面(GUI)的问题
使用CWE找到元素标识符通过GUI < CR_B.4.1 >
给详细的例子和解释的GUI提供了一个“发现”或“搜索”功能为用户识别功能的元素通过寻找相关CWE标识符(s)(必需):
看到答案<CR_A.2.1>。
CWE GUI元素标识符映射< CR_B.4.2 >
简要描述如何列出相关CWE标识符为个人安全元素或讨论用户可以使用CWE的标识符和功能之间的映射的元素,也描述的格式映射(必需):
看到答案<CR_A.2.2>。
GUI出口电子文档格式信息< CR_B.4.3 >
提供不同的电子文档格式的详细信息,你提供出口或访问CWE-related数据和描述如何寻找特定CWE-related文本(推荐):
看到答案<CR_B.3.1>。
问题的签名
兼容性声明< CR_2.11 >
有一个授权个人以下兼容性声明写姓名和日期吗(必需):
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:保罗•安德森
标题:负责工程的副总裁
声明的准确性< CR_3.4 >
有一个授权个人以下精度语句写姓名和日期吗(推荐):
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:保罗•安德森
标题:负责工程的副总裁
假阳性和假阴性则声明< CR_B.2.10 >或< CR_B.3.7 >
仅供工具和服务,有一个授权的个人签名和日期如下声明你的工具安全元素的识别效率(必需):
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:保罗•安德森
标题:负责工程的副总裁
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
