Name of Your Organization:
Veracode, Inc. 网站:
http://veracode.com
兼容功能:
Veracode手动测试 功能主页:
https://analissiscenter.veracode.com/
General Capability Questions 产品可访问性
Provide a short description of how and where your capability is made available to your customers and the public(required):
Veracode提供了通过基于云的平台提供的自动静态和动态应用程序安全测试软件和补救服务。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(required):
As part of our 2012.2 release on February 29, 2012, the following text will be added to the Help Center on the Veracode platform, on the page entitled “Veracode and the CWE”:
Veracode always uses the latest version of the CWE, and updates to new versions within 90 days of release.
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(recommended):
所有VeraCode发现均映射到CWE类别。我们使用每个新的CWE版本重新审视映射,并将任何更改都包含到后续的VeraCode平台版本中。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望更新您的功能映射以反映新可用的CWE内容(required):
As part of our 2012.2 release on February 29, 2012, the following text will be added to the Help Center on the Veracode platform, on the page entitled “Veracode and the CWE”:
Veracode always uses the latest version of the CWE, and updates to new versions within 90 days of release.
文档问题 CWE AND COMPATIBILITY DOCUMENTATION
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(required):
每个VeraCode报告都在“评分方法”部分中包括有关CWE如何计入应用程序评分的描述:
VeraCode评分系统,安全质量评分,建立在两个行业标准的基础上,共同的弱点枚举(CWE)和共同的脆弱性评分系统(CVSS)。CWE提供了安全漏洞和CVSS的字典为计算严重性的基础,该词根据漏洞(如果被利用)的潜在机密性,完整性和可用性影响。
还有一个部分描述了如何使用CWE对每个缺陷进行分类。
The Common Weakness Enumeration (CWE) is an industry standard classification of types of software weaknesses, or flaws, that can lead to security problems. CWE is widely used to provide a standard taxonomy of software errors. Every flaw in a Veracode report is classified according to a standard CWE identifier.
有关CWE的更多指导和背景可在http://cwe.mitre.org/data/index.html。
Finally, within the Veracode platform, every flaw is directly linked to the CWE website for users to obtain more detailed information about the CWE category itself. Refer to Question 8 for more details.
使用CWE标识符查找元素的文档
Provide a copy, or directions to its location, of where your documentation describes the specific details of how your customers can use CWE identifiers to find the individual security elements within your capability's repository(必需的):
使用一个或多个标准
在某些情况下,您可能需要查看应用程序缺陷的特定子集:
- 特定模块或源文件中的缺陷,或特定行号
- 特定类别的缺陷(例如,跨站点脚本)或CWE
- 很可能被利用的缺陷
- 非常严重的缺陷
- 新缺点
- 涉及特定功能的缺陷
- 有待处理,批准或拒绝缓解的缺陷
- 有特殊努力解决的缺陷
- 以上的任何组合
您可以使用缺陷列表顶部的搜索字段搜索任何这些条件。搜索特定项目:
- 从搜索下拉列表中选择要搜索的列。
- 在文本框中输入您的搜索标准,或从下拉列表中选择适当的标准。
- 输入输入或单击GO按钮。输入的搜索标准对缺陷列表进行了过滤,并且输入的搜索标准显示在缺陷查看器工具栏上方。
You can see how many flaws were returned by your search by looking at the flaw count to the left of the list of filter criteria.
按多个标准搜索
如果您想使用多个搜索标准(例如,在给定模块中查找所有跨站点脚本缺陷),请按第一个标准进行搜索,然后输入第二个标准。这两个搜索条件将在搜索条件列表中的搜索字段上方显示。
如果添加了三个以上的搜索条件,则可以单击更多链接以查看搜索条件的完整列表。
Use wildcards
使用字符串输入(例如,源文件名,类别等)的过滤类型可以使用通配符。输入包含星号(*)的搜索字符串将寻找包含一个或多个字符代替该星号的项目。
For example, searching for categories marked *debug* will return flaws in the category "Leftover Debug Code."
使用负标准
您可以使用负标准(即,不等于)指定过滤器。负标准可用于排除显示屏中的一组缺陷,例如隐藏所有信息缺陷(严重性= 0)。
To use a negative criterion, do the following:
- 选择要从搜索下拉列表中搜索的列。
- Click once on the = button next to the list. This toggles the button to the Not Equals (!=) state.
- Enter your search criterion in the text box, or select the appropriate criterion from the drop-down list.
- 输入输入或单击GO按钮。输入的搜索标准对缺陷列表进行了过滤,并且输入的搜索标准显示在缺陷查看器工具栏上方。
DOCUMENTATION OF FINDING CWE IDENTIFIERS USING ELEMENTS
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(required):
查看应用程序的静态结果
要访问静态结果,请单击“应用程序”列表中的“评论链接”,然后单击“应用程序”左导航菜单中的“分类漏洞”链接,转到“缺陷查看器”。如果尚未选择,请单击页面顶部的静态结果链接。
The grid at the bottom of the page is sortable and can be used to select a particular flaw. The grid shows the flaw ID, severity, exploitability, parameter, CWE, location, status, and mitigation status. Clicking on a specific finding causes the flaw viewer to prompt you load your local copy of the source code into the source code viewer at the top of the page.
查看应用程序的动态结果
要访问动态结果,请单击“应用程序”列表中的“视图链接”,然后单击“应用程序”左导航菜单中的“分类漏洞”链接,转到“缺陷查看器”。如果尚未选择,请单击页面顶部的动态结果链接。
与静态扫描结果一样,页面底部的网格是可排序的,可用于选择特定的缺陷。网格显示缺陷ID,严重性,参数,CWE,URL,状态和缓解状态。单击特定的发现将在页面上半部分中显示其他详细信息。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(recommended):
我们的文档当前不包括主索引。
特定于类型的功能问题
工具问题 FINDING TASKS USING CWE IDENTIFIERS
Give detailed examples and explanations of how a user can locate tasks in the tool by looking for their associated CWE identifier(required):
Veracode’s CWE coverage map can be found on our public-facing corporate website athttp://www.veracode.com/directory/cwe-sans-top-25.html。此信息也可以通过Veracode平台上的帮助中心提供给客户。
FINDING CWE IDENTIFIERS USING ELEMENTS IN REPORTS
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(required):
Refer to Question 8 for details on how to find CWE identifiers using the Triage Flaws interface of the Veracode platform. This is a developer-centric interface used to drill down into the details of individual flaws.
在HTML和PDF报告中,发现和建议首先按严重程度(非常高至非常低),然后在每个严重性级别内按CWE标识符进行分组。对于每个CWE标识符,该报告包含该CWE标识符的所有缺陷出现的表。提供了CWE类别的简要说明,以及在cwe.mitre.org上的该类别页面的超链接。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(required):
Veracode’s CWE coverage map can be found on our public-facing corporate website athttp://www.veracode.com/directory/cwe-sans-top-25.html。此信息也可以通过Veracode平台上的帮助中心提供给客户。
我们声称该服务可有效地找到列出的所有CWE类别。Veracode扫描进行严格的测试,以最大程度地减少误报和假否定性,然后再将其引入生产。
该列表反映了Veracode测试使用自动静态和动态扫描的CWE。如果手动渗透测试的结果与扫描结果一起包含,则VeraCode平台可能会报告其他CWES中的缺陷。如果可以将缺陷映射到几个CWES,则VeraCode通常报告描述该特定情况的最通用的CWE(例如,CWE 80是跨站点脚本在其儿童CWES上的首选)。此列表经常更新。
获取与任务相关的CWE标识符列表
Give a detailed explanation of how a user can find the Coverage Claim Representation (CCR) XML document with all of the CWE identifiers that the owner claims the service is effective at locating in software(recommended):
Veracode当前不提供CCR文档。
获取与任务相关的CWE标识符列表
Give detailed examples and explanations of how a user can obtain a listing of all of the CWE identifiers that are associated with the tool's tasks(recommended):
VeraCode服务无法直接访问任何其他产品。
Media Questions 电子文档格式信息
Provide details about the different electronic document formats that you provide and describe how they can be searched for specific CWE-related text(required):
HTML,PDF和XML格式可用报告。可用的报告包括摘要报告,详细报告或PCI报告,所有这些报告包含所有缺陷的CWE映射。还可以通过VeraCode结果API检索缺陷数据,包括CWE映射。All programs typically used to view these data formats have built-in search capabilities.
ELECTRONIC DOCUMENT LISTING OF CWE IDENTIFIERS
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(required):
每当使用短名称时,CWE标识符始终会显着显示。
CWE标识符的电子文档元素
Provide example documents that demonstrate the mapping from the capability's individual elements to the respective CWE identifier(s)(recommended):
可以在我们面向的公共公司网站上找到示例Veracode PDF报告http://www.veracode.com/solutions/get-a-report.html。
Graphical User Interface (GUI) Questions 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(required):
In the Veracode platform, flaw listings can be sorted and filtered by CWE category. Veracode Analytics allows users to query their application inventory for the prevalence of specific CWE categories. Refer to Question 7 for more details on using CWE identifiers to find individual security elements.
GUI元素到CWE标识符映射
Briefly describe how the associated CWE identifiers are listed for the individual security elements or discuss how the user can use the mapping between CWE identifiers and the capability's elements, also describe the format of the mapping(required):
每个缺陷都与GUI中的CWE类别相关联。与缺陷描述一起提供了Mitre.org上CWE类别的超链接。有关如何使用VeraCode平台的分类缺陷接口查找CWE标识符的更多详细信息,请参阅问题8。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(recommended):
HTML,PDF和XML格式可用报告。可用的报告包括摘要报告,详细报告或PCI报告,所有这些报告包含所有缺陷的CWE映射。还可以通过VeraCode结果API检索缺陷数据,包括CWE映射。
Questions for Signature 兼容性
拥有授权的个人标志和日期以下兼容性声明(required):
请参阅上面的答案。
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:克里斯·英格(Chris Eng)
Title: Vice President, Research
STATEMENT OF ACCURACY
拥有授权的个人标志和日期,以下准确性声明(recommended):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:克里斯·英格(Chris Eng)
Title: Vice President, Research
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 具有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(required):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:克里斯·英格(Chris Eng)
Title: Vice President, Research
|
