您的组织名称:
Sonarsource SA 网站:
http://sonarsource.com
采用能力:
带有Objective-C插件的Sonarqube 功能主页:
http://sonarqube.org
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Sonarqube平台是一个免费的开源代码质量平台,可从http://www.sonarqube.org/downloads/。
Objective-C插件是一种商业产品,可以从Sonarqube平台中或从http://www.sonarsource.com/products/plugins/languages/c-cpp--obigntivec/downloads/。
可以通过电子邮件获得试用许可证contact@sonarsource.com。Sonarqube平台基于Web,应由用户托管,并通过http:// [用户的Sonarqube域]访问浏览器:9000
可以在http://nemo.sonarqhube.org/。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
Sonarqube文档Wiki指示使用的CWE版本:http://docs.sonarq.sonarqube.org/display/sonar/security与与之相关的+rules
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(推荐的):
随着CWE的每个新版本的发布,Sonarsource将审查各个CWE项目的更改,并根据需要更新相关规则。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
Objective-C插件大约每月发布,并且CWE版本后的Objective-C插件发布应包含所有必要的更新。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
可以在Sonarqube Wiki中找到CWE和CWE兼容性信息,以及有关查找CWERCEAD规则和ID的信息:http://docs.sonarq.sonarq.org/display/sonar/security-Reclated+reclules#security-realatedrules-cwe。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
请参阅答案。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
请参阅答案。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(推荐的):
Sonarqube Wiki不提供索引。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
在CWE概述中所谓的“任务”被称为Sonarqube平台中的“规则”。要查找特定CWE标识符的规则,请导航到Sonarqube规则页面(例如,http:// [用户的Sonarqube域):9000/codingrules),在搜索文本输入中输入所需的CWE ID,然后按Enter。
可以在Sonarqube演示实例上看到的一个例子:http://nemo.sonarqhube.org/codingrules#q = cwe-628
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
CWE概述中所谓的安全元素被称为Sonarqube平台中的“问题”。每个问题都与检测到的规则有关,每个问题都列出了与其规则的链接。任何相关的CWE项目都将在规则说明的底部列出。在Sonarqube平台的5.0版中,可以通过单击“规则”链接来达到相关规则。在以后的版本中,它看起来像是链接的省略号(“…”)。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
Sonarqube文档链接了覆盖的CWE项目列表:http://docs.sonarq.sonarqube.org/display/sonar/security-Reclated+reclules#security-realatedRealedRulescwe。
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(推荐的):
未提供覆盖索赔代表XML文件。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(推荐的):
与规则关联的CWE ID在参见部分的规则说明的底部列出。可以在Sonarqube演示实例中看到一个例子:http://nemo.sonargube.org/coding规则#规则键= objc%3AS930
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(推荐的):
尚无法一次搜索多个CWE ID。
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(推荐的):
在Sonarqube的语言中,在规则配置文件中添加或激活规则(任务)时,将“选择”,而当它们从该配置文件中删除时“取消”。
要查找然后激活与CWE相关的规则,具有适当权限的登录用户(http://docs.sonarq.sonarqube.org/display/sonar/authorization)将执行答案中所述的规则搜索。搜索结果以列表和详细格式呈现。单击结果列表中的项目时,显示了规则详细信息。每个规则详细信息的底部是一个“激活”按钮,用于将规则添加到配置文件中,以及该规则当前处于活动状态的配置文件列表。在此列表中每个配置文件的右侧是“停用”按钮,该按钮将用于从配置文件中删除规则。
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(推荐的):
当没有发现与规则搜索匹配的规则时,将显示文本“无编码规则”。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
Sonarqube Objective-C分析结果在基于Web的GUI中提供,因此可以在任何页面上使用浏览器搜索功能。此外,可以在问题接口中搜索问题。可以通过CWE ID搜索规则,Sonarqube平台的未来版本将提供从规则到其相关问题的链接。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
所有CWE标识符都提供了全名和标题。
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(推荐的):
每个CWE标识符都链接回相关的CWE标识符页。这可以在Sonarqube演示实例中的此规则的描述的底部看到:http://nemo.sonarqube.org/coding_rules#rule_key = objc%3AS930。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请参阅和的答案
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
在每个规则(元素)详细信息页面的底部,请参见一节列出该规则的相关引用。CWE标识符将在此处列出。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(推荐的):
Sonarqube Objective-C分析结果仅以GUI格式呈现。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:奥利维尔·高丁(Olivier Gaudin)
标题:首席执行官
准确性
拥有授权的个人标志和日期,以下准确性声明(推荐的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:奥利维尔·高丁(Olivier Gaudin)
标题:首席执行官
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:奥利维尔·高丁(Olivier Gaudin)
标题:首席执行官
|
