您的组织名称:
Grammatech,Inc。 网站:
www.grammatech.com
兼容功能:
Codesonar 功能主页:
http://www.grammatech.com/products/codesonar
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Codesonar根据合同出售。购买时,为客户提供适合其平台或平台的安装材料。
安装后,CodeSonar分析软件并发行警告对于每个检测到的漏洞。警告和其他分析工件存储在中央中心,并使用普通的Web浏览器通过基于Web的接口进行浏览。
每个警告包括相关的CWE-ID(如果有);产品网络GUI中呈现的每个CWE-ID都链接到官方CWE网站。用户可以通过CWE搜索和排序一组警告。提供了机制,以便实施自定义检查的客户可以指定他们认为与这些支票相关联的CWE-ID,如果他们愿意的话。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
介绍共同弱点的手册中的一节指出了该软件的映射集基于的CWE版本(请参阅图1)。
图1 。CodeSonar手册屏幕截图显示CWE版本通知。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
每次我们编写新检查时,我们都会为其创建一个CWE映射。在发布产品之前,我们会审查所有映射。我们监视对CWE的更改,并每次进行相关更改时查看映射。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
CWE和CWE兼容性在标题为“ CWE:共同弱点”的手动部分中进行了描述。通过手动目录可以访问,如图所示图2。用户还可以使用手册的搜索功能轻松地找到该部分(请参阅图3)或索引(请参阅图4)。
附录中提供了手册部分的完整副本,请参见<CR_5.4>有关详细信息。
图2。CodeSonar手册:目录中列出的CWE部分。
图3。CodeSonar手册:“ CWE”的最佳搜索结果。
图4。CodeSonar手册:“ CWE”的索引条目。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
手册部分标题为“ CWE:共同的弱点”(见<CR_5.1>)具有“ CodeSonar:CWE-ID搜索”小节,该小节解释了如何搜索包含一个或多个特定CWE-ID的警告。该小节显示在图5。附录中提供了完整部分的副本,请参见<CR_5.4>有关详细信息。
图5。CodeSonar手册:CWE-ID搜索。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
手册部分标题为“ CWE:共同的弱点”(见<CR_5.1>)有一个小节“ Codesonar:为警告定位CWE-ID”,该小节解释了如何查看与警告或一组警告相关的CWE ID或ID。该小节显示在图6。附录中提供了完整部分的副本,请参见<CR_5.4>有关详细信息。
图6。CodeSonar手册:查找警告的CWE-ID。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
“ CWE”的索引列表显示在图4。单个部分的副本在附录/ indexed_cwe_pages.pdf中提供。这些手动部分是机密的,并不供公众分发。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
CodeSonar GUI在每个页面的标题中提供了一个简单的搜索工具,如图所示图7。用户可以使用此工具或使用“高级搜索”页面根据CWE标识符指定搜索。例如,假设我们要搜索与CWE相关的警告:416。图8显示通过简单的搜索工具;图9显示通过高级搜索页。结果在两种情况下都是相同的,并且显示在图10。
也可以在没有“类别”关键字的情况下发布简单的CWE ID搜索(如图所示图11),在这种情况下,它们被视为全文搜索。这些更容易指定,但可能需要比基于关键字的搜索更长的时间,并包括ID字符串出现在“类别”字段以外的位置中的结果。例如,可能已经发布了无关的警告,该警告摘录恰好在评论中包括字符串:该警告将包括在搜索结果中,以及任何警告CODESONAR分析被认为与CWE相关的警告:416。
图7。CodeSonar GUI的每个页面都包含简单的搜索工具。
图8。使用CodeSonar简单搜索工具查找与CWE:416相关的所有警告。
图9。使用CodeSonar高级搜索查找与CWE:416相关的所有警告。
图10。是否使用简单搜索工具执行搜索的搜索结果:416是相同的(图8)或高级搜索页(图9)。
图11。全文搜索字符串“ CWE:416”。将匹配与CWE:416相关的所有警告,以及所有在任何字段中包含该字符串的警告。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
一个代码警告报告列出与“类别”部分中与警告相关的任何CWE-ID,如图所示图12。在介绍的警告表中也可以提供相同的信息分析页 (图13)和警告搜索结果((图14),通过可用的“类别”列。
图12. CodeSonar警告报告,显示了相关CWE标识符的位置。
图13.分析页面的警告选项卡,显示带有CWE-IDS的可用类别列。
图14.警告搜索结果页面,显示带有CWE-IDS的可用类别列。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
Grammatech CodeSonar网站上提供了完整的CWE覆盖信息表:
http://www.grammatech.com/products/codesonar/cwe-coverage-statement.pdf。
获取与任务相关的CWE标识符列表
给出详细的示例和解释用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
CodeSonar手册中提供了一个完整的表格,标题为“ CodeSonar Mnemonics的CWE-IDS”部分。该部分可以通过手册目录可获取(图2),搜索设施(图3)和索引(图4),以及通过手册中的内部链接。附录中提供了手册部分的完整副本,请参见<CR_5.4>有关详细信息。
使用CWE标识符列表选择任务
给出详细的示例和解释用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
CodeSonar船只禁用了一些检查。这是由一组配置文件中的设置控制的。用户可以在这些配置文件之一中指定一个规则,以启用与指定的CWE标识符关联的所有检查。
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(受到推崇的):
对<的响应中描述的功能CR_A.2.7>上面也满足此要求:配置规则可用于通过CWE-ID禁用检查以及启用它们。
媒体问题
电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
与CWE相关的内容可以通过目录中的CodeSonar手册中位于图2),搜索设施(图3)和索引(图4),如前所述。该手册还支持对单个CWE标识符的全文搜索。例如,图15显示搜索“ CWE:416”的结果:搜索返回<<<CR_5.2>和<CR_5.3>,以及CodeSonar的文档页面免费使用后使用警告类,与CWE相关:416。
图15。在CodeSonar手册中搜索“ CWE:416”的结果。
CWE-ID在CodeSonar GUI中包含在三个页面中。在所有情况下,它们都包含在“类别”字段中,该字段也用于存储其他分类信息(例如,在适用的情况下,十个规则号的功率)。
- A警告报告((图12)包含有关CodeSonar分析发出的单个警告的完整信息,并始终包含类别字段。默认情况下以HTML格式生成此页面类型,但可以以文本或XML检索。用于搜索:
- HTML:使用Web客户端“查找”功能。
- 文本:使用Web客户端“查找”功能,或保存文件并使用任何文本搜索设施。
- XML:使用XML查看器“查找”功能或解析元素(每个元素都描述了给定警告的类别之一)。元素包括一个URL属性;对于CWE-IDS,这指向CWE网站上的ID文档。
- 这警告标签 (图13)分析页面包含分析发出的警告表。此表不包括类别列默认情况下,但是如果用户愿意,则可以添加一个列。默认情况下以HTML格式生成此页面类型,但可以以CSV或XML检索。
- HTML:使用Web客户端“查找”功能。
- CSV:使用CSV查看器“查找”功能,或检查标有“类别”的列。
- XML:使用XML查看器“查找”功能或解析元素(每个元素都包含给定警告的所有类别,作为单个字符串)。
- w搜索结果((图14)表示为警告表。此表不包括类别列默认情况下,但是如果用户愿意,则可以添加一个列。默认情况下以HTML格式生成此页面类型,但可以以CSV或XML检索。
- HTML:使用Web客户端“查找”功能。
- CSV:使用CSV查看器“查找”功能,或检查标有“类别”的列。
- XML:使用XML查看器“查找”功能或解析元素(每个元素都包含给定警告的所有类别,作为单个字符串)。
(XML架构可能会在将来发生变化,但始终使用该产品发货以便引用)。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
该文档提供了每个警告类别的完整描述,以及指向任何关联CWE-ID的CWE定义的直接链接。看图16例如。
图16.警告类文档包括关联的CWE-ID列表,每个列表链接到其在CWE网站上的定义。
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的):
请参阅答案<CR_A.2.6>。
图形用户界面(GUI)问题
通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请参阅答案<CR_A.2.1>。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
请参阅答案<CR_A.2.2>。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
请参阅答案<CR_B.3.1>。
签名问题
兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:保罗·安德森(Paul Anderson)
标题:工程副总裁
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:保罗·安德森(Paul Anderson)
标题:工程副总裁
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 具有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:保罗·安德森(Paul Anderson)
标题:工程副总裁
|
