您的组织名称:
高科技桥SA 网站:
https://www.htbridge.com
兼容功能:
高科技桥梁安全咨询 功能主页:
https://www.htbridge.com/advisory/
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
CWE功能在我们的网站上公开可用:https://www.htbridge.com/advisory/
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
在每个HTB安全咨询中,我们都有“漏洞类型”字段,其中包含漏洞类型名称和相应的CWE-ID。
例如,对于此HTB咨询,https://www.htbridge.com/advisory/htb23094,用户清楚地看到了网页正文中的CWE-ID:
| 漏洞类型: |
跨站点伪造[CWE-352] |
| 跨站点脚本[CWE-79] |
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
由于高科技桥梁安全研究实验室提供和发现了所有发布的安全咨询,因此我们不希望在CWE-ID被我们的安全研究人员分配和发布后更新它们。
唯一的例外是,如果我们从MITER那里收到了错误的CWE-ID使用情况的指示。在这种情况下,我们的技术团队将通过Advisory@htbridge.com电子邮件加入,并准备对MITER的任何需求做出迅速反应。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
如上所述,我们通常不应该更新CWE-IDS,如果我们被斜切要求这样做的话,唯一的例外。在这种情况下,我们技术团队的响应时间少于8个小时。这次通常足以应用从MITER收到的任何更改或更新。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
我们网站的 /咨询 /部分中每个网页的“相关链接”框架显示了一个关于CWE的超链接“有关MITER的“关于CWE”网页:http://cwe.mitre.org/about/index.html。
我们认为此网页最适合寻找与CWE相关文档的用户。我们宁愿将用户直接发送到原始来源,而不是复制信息。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
在我们的安全咨询的主要网页上,我们有一个搜索功能。搜索可以通过:
- CVE-ID
- HTB-ID
- 咨询名称
- CWE-ID
以下URL,https://www.htbridge.com/advisory/?cveid=&htbid=&vulnname=&cweid = 89&action = search,将显示所有包含CWE-89的漏洞或更多漏洞的安全咨询。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
我们安全咨询的主要网页上的搜索功能非常可理解且用户友好。
它的用法很明显,不需要其他文档:https://www.htbridge.com/advisory/
在线能力问题 使用CWE标识符查找在线功能任务
给用户提供“查找”或“搜索”功能如何使用“查找”或“搜索”功能的详细示例和说明,以通过查找其关联的CWE标识符或通过在线映射将功能的每个元素链接到其关联的在线映射来找到在线功能中的任务CWE标识符(必需的):
正如本文档的CR_5.2部分已经解释的那样,我们的安全咨询的主要网页为用户提供了一种明显而简单的搜索机制,使每个人都可以通过特定的CWE-ID搜索我们的咨询:https://www.htbridge.com/advisory/
在线功能接口模板用法
提供有关某人如何使用您的“ URL模板”与功能搜索功能接口的详细说明(受到推崇的):
例子:
- http://www.example.com/cgi-bin/db-search.cgi?cweid=xxx
- http://www.example.com/cwe/xxx.html
搜索功能允许使用特定的CWE-ID显示所有咨询。
以下URL使任何用户都可以通过CWE-ID搜索咨询:
https://www.htbridge.com/advisory/?cveid=&htbid=&vulnname=&cweid = type_cwe_id_id_here&action = search
在线能力CGI获取方法支持
如果URL模板适用于CGI程序,它是否支持HTTP“ GET”方法?(受到推崇的):
是的
使用在线能力元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,在线功能允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
每个安全元素(在我们的情况下,“安全元素”是HTB安全咨询)都有一个带有列出的CWE-ID(S)的“漏洞类型”字段。
任何HTB安全咨询都可以用作示例:
https://www.htbridge.com/advisory/htb23072
https://www.htbridge.com/advisory/htb23084
获取声称的CWE标识符覆盖范围
给出详细的示例和解释用户如何获得所有者声称在线功能存储库封面的所有CWE标识符的列表(必需的):
用户可以在安全咨询的网页中看到每种漏洞类型(或不带有CVE-ID)的CWE-ID。
CWE标识符映射的在线功能元素
如果未提供单个安全元素的详细信息,请给出示例和解释用户如何获得将每个元素与其关联的CWE标识符链接的映射,否则输入N/A(必需的):
N/A。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
安全咨询公开提供:
- HTB安全咨询主页上的HTML格式:https://www.htbridge.com/advisory/
- RSS格式在FeedBurner上:
http://feeds.feedburner.com/htbridge_disclosed_advisories http://feeds.feedburner.com/high-tech_bridge_security_advisories
两种格式的“漏洞类型”字段中始终正确指示相应的CWE-ID(S)。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
CWE-ID(S)始终在每个HTB安全咨询网页上清楚地显示。
例子:https://www.htbridge.com/advisory/htb23100
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
高科技桥梁安全咨询的主页:
https://www.htbridge.com/advisory/
为任何用户提供以下GUI:
- 输入框“ CVE-ID”,“ HTB-ID”,“名称”,“ CWE-ID”
- 按钮“搜索”
搜索功能允许CVE-ID,HTB-ID,CWE-ID和咨询名称找到安全咨询。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
CWE-ID在“漏洞类型”字段的任何安全咨询的主体中都可以看到,无论是HTML和RSS格式。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Ilia Kolochenko
标题:首席执行官
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Ilia Kolochenko
标题:首席执行官
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 具有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Ilia Kolochenko
标题:首席执行官
|
