您的组织名称:
美国国家标准技术研究所(NIST) 网站:
www.nist.gov
兼容功能:
软件保证参考数据集(SARD) 功能主页:
http://samate.nist.gov/sard/
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
NIST的软件保证参考数据集(SARD)提供了超过61,000个测试用例的公共存储库,用于通过Internet进行软件保证工具评估。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
Sard Designer的注释中讨论了弱点命名约定和CWE兼容性的部分,该部分指出了该软件映射集所基于的CWE版本。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
当测试案例提交给SARD存储库时,根据CWE映射,将存储其弱点(ES)作为测试案例记录的一部分。如果SARD CWE弱点表中不存在弱点(ES),则表将相应地更新。
当有新版本的CWE版本时,将审查CWE映射,如果适用,将进行相关的更改。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
CWE和CWE兼容性在SAD Designer的注释的一部分中描述了“命名弱点命名 - CWE兼容性”。可以通过http://samate.nist.gov/sard/。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
在搜索测试用例的屏幕上,单击扩展搜索的选项卡。然后,使用CWE标识符提出了两种方式来搜索测试案例:
在屏幕的右侧,在“弱点”下扩展了CWE弱点。SARD支持的CWE标识符中的软件弱点层次树将显示。选择一个CWE标识符将添加该弱点为搜索标准之一。它将在屏幕左侧的搜索字段中显示“弱点”。如果适用,请填写此屏幕上的其他搜索字段。单击“搜索测试案例”将返回符合搜索条件的测试用例列表。 
图1:使用JavaScript树搜索屏幕 如果您的浏览器不支持JavaScript树,请单击“弱点”不会扩展CWE标识符的层次树。将鼠标移至屏幕的右上角,然后单击。然后,使用屏幕左侧的“弱点”字段的下拉菜单。菜单上有SAD支持的CWE标识符的完整列表。从该菜单中选择所需的软件弱点。 
图2:使用下拉菜单的搜索屏幕
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
在SARD中,CWE-ID出现在需要发布弱点的每个地方,例如,测试用例的屏幕显示,在测试用例列表中,测试用例的输出zipperd zpipped文件等。SARD中使用的弱点是在线提供的。
图3:测试用例列表
图4:显示案例
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
在搜索测试用例的屏幕上,SARD通过寻找其相关的CWE标识符,提供了两种定位测试用例的方法。如果您的浏览器支持JavaScript树,请在屏幕右侧展开树,然后选择一个弱点。填写其他搜索条件,然后单击“搜索测试案例”。带有指定CWE标识符的测试用例列表将在下一个屏幕上显示。
图5:带有搜索标准的搜索屏幕
图6:搜索结果
如果您的浏览器不支持JavaScript树,请单击屏幕右上角的“如果遇到JavaScript树的麻烦”,请单击“单击此处”。然后,使用屏幕左侧的“弱点”字段的下拉菜单选择CWE标识符。填写其他搜索条件(如果适用),然后单击“搜索测试案例”。带有指定弱点的测试用例列表将在下一个屏幕上显示。
图7:带有搜索标准的搜索屏幕
图8:搜索结果
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
当用户请求下载测试用例时,SARD将生成一个包含测试文件以及清单文件的zip文件。清单文件包含测试文件的位置,测试案例的弱点以及弱点的位置。弱点是CWE标识符的形式。
这是一个示例:
图9:报告的示例
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
在“从Samate参考数据集中的更多下载”的屏幕上,有一个子弹项目“弱点”。单击它,所有CWE标识的所有CWE的列表将在下一个屏幕上显示:
图10:所有CWE-ID的列表
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(受到推崇的):
请参阅答案<CR_A.2.3>。
服务问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
Sard以JavaScript树或下拉菜单的形式提供了各种CWE标识符列表。用户可以通过在列表中指定特定的CWE标识符来搜索一组测试用例。
有关详细的例子,请参阅答案<CR_A.2.1>。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
Sard提供了下载测试用例以生成服务报告的设施。下载文件由测试文件(源代码的一个或多个文件)和清单文件(测试用例的属性)组成。CWE标识符是清单文件中的测试用例属性之一。
有关详细的例子,请参阅答案<CR_A.2.2>。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
给出详细的示例和解释,说明用户如何获得所有者声称该服务有效定位软件的所有CWE标识符的列表(必需):
请参阅答案<CR_A.2.3>。
获取与任务相关的CWE标识符列表
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明,所有者声称该服务在软件中有效定位(受到推崇的):
请参阅答案<CR_A.2.3>。
在线能力问题 使用CWE标识符查找在线功能任务
给用户提供“查找”或“搜索”功能如何使用“查找”或“搜索”功能的详细示例和说明,以通过查找其关联的CWE标识符或通过在线映射将功能的每个元素链接到其关联的在线映射来找到在线功能中的任务CWE标识符(必需的):
Sard以JavaScript树或下拉菜单的形式提供了各种CWE标识符列表。用户可以通过从列表中指定特定的CWE标识符来搜索一组测试用例。
有关详细的例子,请参阅答案<CR_A.2.1>。
使用在线能力元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,在线功能允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
用户可以请求在SAD中下载单个测试用例。下载文件由测试文件(源代码的一个或多个文件)和清单文件(测试用例的属性)组成。CWE标识符是清单文件中的测试用例属性之一。 有关详细的例子,请参阅答案<CR_A.2.2>。 获取声称的CWE标识符覆盖范围
给出详细的示例和解释用户如何获得所有者声称在线功能存储库封面的所有CWE标识符的列表(必需的):
有关详细的例子,请参阅答案<CR_A.2.3>。
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有者声称在线能力的存储库覆盖的所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(受到推崇的):
有关详细的例子,请参阅答案<CR_A.2.3>。
CWE标识符映射的在线功能元素
如果未提供单个安全元素的详细信息,请给出示例和解释用户如何获得将每个元素与其关联的CWE标识符链接的映射,否则输入N/A(必需的):
在SARD主页的顶部菜单上,用户可以选择菜单项“视图/下载”来列出所有SARD测试用例,该示例案例将每个SARD元素(即测试用例)与其关联的CWE标识符链接到:
图11:测试用例列表
媒体问题
电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
Sard为测试案例和测试套件提供了电子文档。用户可以指定测试用例或测试套件以下载;Sard将生成由测试文件和清单文件组成的ZIP文件。在清单文件中,列出了每个测试用例的元数据,包括测试文件的文件路径,测试用例的弱点,弱点的位置和测试用例的其他属性。弱点是CWE标识符的形式。这是一个示例:
图12:测试套件列表45
图13:测试套件的清单文件45
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
请参阅答案<CR_A.2.3>。
图形用户界面(GUI)问题
通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请参阅答案<CR_A.2.1>。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
请参阅答案<CR_A.4.5>。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
请参阅答案<CR_B.3.1>。
签名问题
兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:芭芭拉·古特曼(Barbara Guttman)
标题:信息技术实验室的经理,软件质量小组,软件和系统部
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:芭芭拉·古特曼(Barbara Guttman)
标题:信息技术实验室的经理,软件质量小组,软件和系统部
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 具有授权的个人标志和日期,以下有关您的工具效率确定安全元素的说明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:芭芭拉·古特曼(Barbara Guttman)
标题:信息技术实验室的经理,软件质量小组,软件和系统部
|
