您的组织名称:
Red Hat,Inc。 网站:
http://www.redhat.com/
兼容功能:
红帽客户门户 功能主页:
https://access.redhat.com
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
CWE标识符被分配给红帽脆弱性常见的漏洞评分系统V2(CVSS V2)得分高于或等于7。在分类,量化和对这些弱点进行分类之后,我们定期将所有努力指导我们的产品中的这些弱点,作为我们的评估服务,知识存储库,软件开发实践和教育产品的一部分。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
有关目前使用的CWE列表版本,评论和更新以及Red Hat Customer Portal的当前CWE覆盖范围的信息,请访问:https://access.redhat.com/knowledge/articles/171613。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
Red Hat客户门户网站的CWE覆盖范围每年进行两次审查和更新,并发布漏洞评估报告。在漏洞评估时,使用当前的CWE覆盖范围将CWE标识符分配给红帽漏洞。因此,根据评估漏洞的评估日期和当时的当前CWE覆盖范围的日期,对漏洞的引用被分为“时间切片”。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
请参阅的答案。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
CWE和CWE兼容性的文档可用:https://access.redhat.com/knowledge/articles/171503。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
用户可以使用bugzilla搜索界面:https://bugzilla.redhat.com/query.cgi,或直接参考特定漏洞的“白板”字段,例如:https://bugzilla.redhat.com/show_bug.cgi?id=cve-cve-xxx-xxx。请注意,您需要登录Bugzilla才能看到完整的“白板”字段。
另外,用户也可以在CVE数据库应用程序中搜索,例如https://access.redhat.com/security/cve/?cwe=xxx或单个CVE页面,例如:https://access.redhat。com/security/cve/cve-xxx-xxx。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
请参阅的答案。
服务问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
用户可以找到有关当前使用的CWE列表版本,评论和更新的信息,以及Red Hat Customer Portal的当前CWE覆盖范围:https://access.redhat.com/knowledge/articles/171613。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
用户可以使用bugzilla搜索界面:https://bugzilla.redhat.com/query.cgi,或直接参考特定漏洞的“白板”字段,例如:https://bugzilla.redhat.com/show_bug.cgi?id=cve-2009-2692。请注意,您需要登录Bugzilla才能看到完整的“白板”字段。
另外,用户也可以在CVE数据库应用程序中搜索,例如https://access.redhat.com/security/cve/?cwe=476,或单个CVE页面,例如:https://access.redhat.com/security/cve/cve-2009-2692。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
请参阅的答案。
获取与任务相关的CWE标识符列表
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明,所有者声称该服务在软件中有效定位(受到推崇的):
目前尚不可用用于红帽客户门户的CWE覆盖范围的CCR XML。
在线能力问题 使用CWE标识符查找在线功能任务
给用户提供“查找”或“搜索”功能如何使用“查找”或“搜索”功能的详细示例和说明,以通过查找其关联的CWE标识符或通过在线映射将功能的每个元素链接到其关联的在线映射来找到在线功能中的任务CWE标识符(必需的):
请参阅的答案。
在线功能接口模板用法
提供有关某人如何使用您的“ URL模板”与功能搜索功能接口的详细说明(受到推崇的):
例子:
- http://www.example.com/cgi-bin/db-search.cgi?cweid=xxx
- http://www.example.com/cwe/xxx.html
请参阅的答案。
在线能力CGI获取方法支持
如果URL模板适用于CGI程序,它是否支持HTTP“ GET”方法?(受到推崇的):
是的。
使用在线能力元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,在线功能允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
CVE数据库中列出的每个CWE元素都链接到该页面,其中包含其详细说明在MITER网站上:
获取声称的CWE标识符覆盖范围
给出详细的示例和解释用户如何获得所有者声称在线功能存储库封面的所有CWE标识符的列表(必需的):
请参阅的答案。
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有者声称在线能力的存储库覆盖的所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(受到推崇的):
目前尚不可用用于红帽客户门户的CWE覆盖范围的CCR XML。
CWE标识符映射的在线功能元素
如果未提供单个安全元素的详细信息,请给出示例和解释用户如何获得将每个元素与其关联的CWE标识符链接的映射,否则输入N/A(必需的):
N/A。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
请参阅的答案。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
请参阅的答案。
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的):
请参阅的答案。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请参阅的答案。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
请参阅的答案。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
请参阅的答案。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:乔什·布雷斯斯
标题:产品安全,团队负责人
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:乔什·布雷斯斯
标题:产品安全,团队负责人
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:乔什·布雷斯斯
标题:产品安全,团队负责人
|
