您的组织名称:
牛仔布集团有限公司 网站:
http://www.denimgroup.com
兼容功能:
螺纹框架 功能主页:
http://www.denimgroup.com/threadfix
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
有关线程文件的其他信息,请参见:http://www.denimgroup.com/threadfix/
Mozilla 2.0公共许可证(MPL)可免费获得ThreadFix;下载软件:http://code.google.com/p/threadfix/
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
http://code.google.com/p/threadfix/wiki/threadfixvulnerabilityformatThreadFix 1.1版使用CWE 2.4,于2013年2月12日发布。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
每个产品发布时都会对ThreadFix的CWE功能映射进行更新,通常每年包括两个主要版本。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
新产品通常会在半年度内发布,并包括对CWE标识符的更新。由于CWE标识符超链接回到MITER网站,因此每当MITER发布更新时,都可以访问更新的内容。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
http://code.google.com/p/threadfix/wiki/threadfixvulnerabilityformat
http://code.google.com/p/threadfix/wiki/commonweaknessenumeration
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
http://code.google.com/p/threadfix/wiki/commonweaknessenumeration
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
该URL解释了如何在与/引用CWE-ID相关的情况下导航threadfix UI,并为MITER网站上关联的映射提供了超链接:http://code.google.com/p/threadfix/wiki/commonweaknessenumeration
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
ThreadFix文档不提供索引。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
以下分步信息也可以在线找到:http://code.google.com/p/threadfix/wiki/commonweaknessenumeration
确定的漏洞被映射到CWE标识符。关联的CWE标识符在“漏洞详细信息”页面的顶部列出,引用了CWE-ID名称CWE-ID编号,然后将超链接回到MITER网站上的关联标识符。
- 从应用程序页面中,选择一个单个漏洞。
- 单击CWE条目URL,以导航到MITER网站上的相关CWE标识符。
过滤漏洞数据是螺纹修饰的功能。用户可以过滤包括CWE标识符在内的许多条件。
- 在申请页面上,单击“显示过滤器”链接
- 输入CWE-ID号码,单击“过滤器”链接。
- 只有与特定CWE-ID相关的结果将显示在下面。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
CWE-ID可以在“按类型范围的漏洞进度”报告中找到
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
https://code.google.com/p/threadfix/wiki/commonweaknessenumeration
可以通过查看CWE 2.4的最新版本来找到由ThreadFix V1.1支持的CWE标识符的完整列表(以及当前集成扫描仪的集合)。ThreadFix允许手动输入漏洞,可以完全覆盖/支持CWE 2.4最新版本中的所有CWE标识符。
在线能力问题 使用CWE标识符查找在线功能任务
给用户提供“查找”或“搜索”功能如何使用“查找”或“搜索”功能的详细示例和说明,以通过查找其关联的CWE标识符或通过在线映射将功能的每个元素链接到其关联的在线映射来找到在线功能中的任务CWE标识符(必需的):
有关详细的例子,请参阅答案CR_A.2.1。
使用在线能力元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,在线功能允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
请参阅答案CR_A.2.2。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释用户如何获得所有者声称在线功能存储库封面的所有CWE标识符的列表(必需的):
请参阅答案CR_A.2.3。
CWE标识符映射的在线功能元素
如果未提供单个安全元素的详细信息,请给出示例和解释用户如何获得将每个元素与其关联的CWE标识符链接的映射,否则输入N/A(必需的):
确定的漏洞被映射回CWE标识符。确定的相关CWE在“漏洞详细信息”页面的顶部列出,引用了CWE-ID,并将超链接回到MITER网站上的关联映射。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
用户可以将ThreadFix的报告导出到以下格式:HTML,CSV和PDF。CWE-ID可以在“按类型按类型的漏洞进度”报告中找到。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
关联的CWE标识符在“漏洞详细信息”页面的顶部列出,引用了CWE-ID,并将超链接提供回到MITER网站上的关联映射。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
有关详细的例子,请参阅答案CR_A.2.1。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
有关详细的例子,请参阅答案CR_A.2.1。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
用户可以将ThreadFix的报告导出到以下格式:HTML,CSV和PDF。CWE-ID可以在“按类型按类型的漏洞进度”报告中找到。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:布莱恩·马瑟(Brian Mather)
标题:产品经理
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:布莱恩·马瑟(Brian Mather)
标题:产品经理
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:布莱恩·马瑟(Brian Mather)
标题:产品经理
|
