CWE- CWE兼容的产品和服务 - 新万博5g

2021 CWE最重要的硬件弱点

CWE前25个最危险的弱点

家>兼容性>与CWE兼容的产品和服务

您的组织名称：

SonarSource SA

Web Site:

http://sonarsource.com

采用能力：

Sonarqube带有Java插件

Capability home page:

http://sonarqube.org

一般能力问题

Product Accessibility

简要说明如何以及在何处将您的能力提供给客户和公众（必需的）：

The SonarQube platform is a free and open source code quality platform available for download fromhttp://www.sonarqube.org/downloads/。

Java插件是一种商业产品，可以从Sonarqube平台中或从http://www.sonarsource.com/products/plugins/languages/java/。

可以通过电子邮件获得试用许可证contact@sonarsource.com。The SonarQube platform is web-based, and should be hosted by the user and accessed via a browser at http://[user's SonarQube domain]:9000

A demonstration instance can be found athttp://nemo.sonarqhube.org/。

回到顶部

映射问题

Map Currency Indication

Describe how and where your capability indicates the most recent CWE content used to create or update its mappings（必需的）：

The SonarQube documentation wiki indicates the version of CWE used:http://docs.sonarq.sonarqube.org/display/sonar/security与与之相关的+rules

地图货币更新方法

表示您计划更新映射以反映当前的CWE内容的频率，并描述您在将其映射到存储库时与CWE内容保持合理最新的方法（推荐的）：

随着CWE的每个新版本的发布，Sonarsource将审查各个CWE项目的更改，并根据需要更新相关规则。

地图货币更新时间

描述您向客户解释的时间和地点，他们应该期望您能力映射的更新反映新近可用的CWE内容（必需的）：

Java插件大约每月发布，CWE版本后的Java插件发行版应包含所有必要的更新。

回到顶部

文档问题

CWE和兼容性文档

Provide a copy, or directions to its location, of where your documentation describes CWE and CWE compatibility for your customers（必需的）：

CWEand CWE Compatibility information, as well as information about finding CWErelated rules and IDs, can be found in the SonarQube wiki:http://docs.sonarq.sonarq.org/display/sonar/security-Reclated+reclules#security-realatedrules-cwe。

DOCUMENTATION OF FINDING ELEMENTS USING CWE IDENTIFIERS

提供您的文档的副本或指示到其位置，描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息（必需的）：

请参阅答案。

使用元素查找CWE标识符的文档

提供您的文档描述用户将遵循的过程的副本或指示，以查找与您功能存储库中个人安全元素相关的CWE标识符（必需的）：

请参阅答案。

与CWE相关材料的文档索引

If your documentation includes an index, provide a copy of the items and resources that you have listed under "CWE" in your index. Alternately, provide directions to where these "CWE" items are posted on your web site（推荐的）：

The SonarQube wiki does not provide an index.

回到顶部

特定于类型的功能问题

工具问题

使用CWE标识符查找任务

给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务（必需的）：

What's known as a "task" in CWE parlance is called a "rule" in the SonarQube platform. To find rules for a specific CWE identifier, navigate to the SonarQube Rules page (e.g., http://[user's SonarQube domain):9000/codingrules), enter the desired CWE ID in the search text input, and press Enter.

可以在Sonarqube演示实例上看到的一个例子：http://nemo.sonarqhube.org/codingrules#q = cwe-628

使用报告中的元素查找CWE标识符

给出详细的示例和解释，以说明如何确定单个安全元素的报告，该工具允许用户确定报告中各个安全元素的关联的CWE标识符（必需的）：

What's known as a Security Element in CWE parlance is called an "issue" in the SonarQube platform. Each issue is tied to the rule that detected it, and each issue is presented with a link to its rule. Any relevant CWE item(s) will be listed at the bottom of the rule description. In version 5.0 of the SonarQube platform one can reach the related rule by clicking on the "Rule" link. In later versions it appears as a linked ellipsis ("…").

GETTING A LIST OF CLAIMED CWE IDENTIFIER COVERAGE

给出详细的示例和解释，说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表（必需的）：

The list of covered CWE items is linked from the SonarQube documentation:http://docs.sonarq.sonarqube.org/display/sonar/security-Reclated+reclules#security-realatedRealedRulescwe。

使用CCR提供索取的CWE标识符覆盖范围

Give a detailed explanation of how a user can find the Coverage Claim Representation (CCR) XML document with all of the CWE Identifiers that the owner claims the tool is effective at locating in software（推荐的）：

未提供覆盖索赔代表XML文件。

获取与任务相关的CWE标识符列表

给出详细的示例和解释，说明用户如何获得与工具任务相关联的所有CWE标识符的列表（推荐的）：

与规则关联的CWE ID在参见部分的规则说明的底部列出。可以在Sonarqube演示实例中看到一个例子：http://nemo.sonargube.org/coding rules#rule key=objc%3AS930

使用CWE标识符列表选择任务

描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式（推荐的）：

It is not yet possible to search for multiple CWE IDs at once.

SELECTING TASKS USING INDIVIDUAL CWE IDENTIFIERS

描述用户将通过使用单个CWE标识符浏览，选择和取消选择该工具的一组任务的步骤（推荐的）：

In the language of SonarQube, rules (tasks) are "selected" when they're added to or activated in a rule profile, and "deselected" when they're removed from that profile.

要查找然后激活与CWE相关的规则，具有适当权限的登录用户（http://docs.sonarqube.org/display/SONAR/Authorization) would perform a rule search as described in the answer to . Search results are presented in a list-and detail format. Rule details are shown when an item in the list of results is clicked. At the bottom of each rule detail is an "Activate" button for adding the rule to a profile, along with the list of profiles in which the rule is currently active. To the right of each profile in this list is a "Deactivate" button, which would be used to remove a rule from a profile.

NON-SUPPORT NOTIFICATION FOR A REQUESTED CWE IDENTIFIER

提供有关该工具如何通知用户的说明，无法执行与所选CWE标识符关联的任务（推荐的）：

When no rules are found to match a rule search, the text "No Coding Rules" is displayed.

回到顶部

媒体问题

ELECTRONIC DOCUMENT FORMAT INFO

提供有关您提供的不同电子文档格式的详细信息，并描述如何搜索它们与CWE相关的特定文本（必需的）：

Sonarqube Java分析结果是在基于Web的GUI中提供的，因此可以在任何页面上使用浏览器搜索功能。此外，可以在问题接口中搜索问题。可以通过CWE ID搜索规则，Sonarqube平台的未来版本将提供从规则到其相关问题的链接。

CWE标识符的电子文档列表

如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档，以说明如何为每个单独的安全元素列出相关的CWE标识符（必需的）：

Full names and titles are provided for all CWE identifiers.

CWE标识符的电子文档元素

提供示例文档，以证明从功能的各个元素到相应的CWE标识符的映射（推荐的）：

每个CWE标识符都链接回相关的CWE标识符页。这可以在Sonarqube演示实例中的此规则的描述的底部看到：http://nemo.sonarqube.org/coding_rules#rule_key = objc%3AS930。

回到顶部

图形用户界面（GUI）问题

通过GUI 使用CWE标识符查找元素

Give detailed examples and explanations of how the GUI provides a "find" or "search" function for the user to identify your capability’s elements by looking for their associated CWE identifier(s)（必需的）：

Please see the answers to and

GUI ELEMENT TO CWE IDENTIFIER MAPPING

Briefly describe how the associated CWE identifiers are listed for the individual security elements or discuss how the user can use the mapping between CWE identifiers and the capability’s elements, also describe the format of the mapping（必需的）：

在每个规则（元素）详细信息页面的底部，请参见一节列出该规则的相关引用。CWE标识符将在此处列出。

GUI EXPORT ELECTRONIC DOCUMENT FORMAT INFO

提供有关您提供的不同电子文档格式的详细信息（推荐的）：

Sonarqube Java分析结果仅以GUI格式呈现。

回到顶部

签名问题

兼容性

拥有授权的个人标志和日期以下兼容性声明（必需的）：

“作为我组织的授权代表，我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

名称：奥利维尔·高丁（Olivier Gaudin）

标题：首席执行官

准确性

Have an authorized individual sign and date the following accuracy Statement（推荐的）：

“作为我组织的授权代表，我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

名称：奥利维尔·高丁（Olivier Gaudin）

标题：首席执行官

关于falsepitions和false-sengatives 和/或的声明

仅对于工具和服务 - 拥有授权的个人标志和日期，以下有关您的工具效率的说明，以识别安全元素（必需的）：

“作为我组织的授权代表，我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

名称：奥利维尔·高丁（Olivier Gaudin）

标题：首席执行官

回到顶部

More information is available — Please select a different filter.

页面最后更新：2018年4月2日


	Site Map\|使用条款\|Privacy Policy\|联系我们\| Use of the Common Weakness Enumeration (CWE) and the associated references from this website are subject to the使用条款。CWEis sponsored by theU.S. Department of Homeland Security（DHS）网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页(MITRE). Copyright © 2006–2023, The MITRE Corporation. CWE, CWSS, CWRAF, and the CWE logo are trademarks of The MITRE Corporation.