您的组织名称:
Veracode,Inc。 Web Site:
http://veracode.com
Compatible Capability:
Veracode Analytics Capability home page:
https://analysiscenter.veracode.com/
一般能力问题 Product Accessibility
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Veracode provides automated static and dynamic application security testing software and remediation services, delivered via a cloud-based platform.
映射问题 Map Currency Indication
Describe how and where your capability indicates the most recent CWE content used to create or update its mappings(必需的):
作为我们2012年2月29日发布的2012年版本的一部分,以下文本将添加到Veracode平台上的帮助中心,标题为“ Veracode和CWE”:
Veracode始终使用CWE的最新版本,并在发布后的90天内更新了新版本。
地图货币更新方法
Indicate how often you plan on updating the mappings to reflect the current CWE content and describe your approach to keeping reasonably current with the CWE content when mapping them to your repository(受到推崇的):
所有VeraCode发现均映射到CWE类别。我们使用每个新的CWE版本重新审视映射,并将任何更改都包含到后续的VeraCode平台版本中。
MAP CURRENCY UPDATE TIME
描述您向客户解释的时间和地点,他们应该期望更新您的功能映射以反映新可用的CWE内容(必需的):
作为我们2012年2月29日发布的2012年版本的一部分,以下文本将添加到Veracode平台上的帮助中心,标题为“ Veracode和CWE”:
Veracode始终使用CWE的最新版本,并在发布后的90天内更新了新版本。
Documentation Questions CWE和兼容性文档
Provide a copy, or directions to its location, of where your documentation describes CWE and CWE compatibility for your customers(必需的):
Every Veracode report includes, in the Scoring Methodology section, a description of how CWE is factored into application scoring:
VeraCode评分系统,安全质量评分,建立在两个行业标准的基础上,共同的弱点枚举(CWE)和共同的脆弱性评分系统(CVSS)。CWE提供了安全漏洞和CVSS的字典为计算严重性的基础,该词根据漏洞(如果被利用)的潜在机密性,完整性和可用性影响。
还有一个部分描述了如何使用CWE对每个缺陷进行分类。
常见的弱点枚举(CWE)是可能导致安全问题的软件弱点或缺陷类型的行业标准分类。CWE广泛用于提供软件错误的标准分类法。VeraCode报告中的每个缺陷均根据标准CWE标识符进行分类。
More guidance and background about the CWE is available athttp://cwe.mitre.org/data/index.html。
最后,在VeraCode平台中,每个缺陷都直接链接到CWE网站,以便用户获得有关CWE类别本身的更详细信息。有关更多详细信息,请参阅问题8。
DOCUMENTATION OF FINDING ELEMENTS USING CWE IDENTIFIERS
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
使用一个或多个标准
In some cases, you may want to review a specific subset of your application's flaws:
- Flaws in a particular module or source file, or on a particular line number
- Flaws in a particular category (e.g., Cross-Site Scripting) or CWE
- 很可能被利用的缺陷
- 非常严重的缺陷
- New flaws
- 涉及特定功能的缺陷
- Flaws with pending, approved, or rejected mitigations
- 有特殊努力解决的缺陷
- Any combination of the above
您可以使用缺陷列表顶部的搜索字段搜索任何这些条件。搜索特定项目:
- 从搜索下拉列表中选择要搜索的列。
- Enter your search criteria in the text box, or select the appropriate criterion from the drop-down list.
- 输入输入或单击GO按钮。输入的搜索标准对缺陷列表进行了过滤,并且输入的搜索标准显示在缺陷查看器工具栏上方。
您可以通过查看滤波器标准列表左侧的缺陷计数来查看搜索返回多少缺陷。
按多个标准搜索
If you wish to use multiple search criteria (e.g. finding all cross site scripting flaws in a given module), search by the first criterion, then enter the second criterion. Both search criteria will be displayed above the Search field in the list of search criteria.
如果添加了三个以上的搜索条件,则可以单击更多链接以查看搜索条件的完整列表。
使用通配符
使用字符串输入(例如,源文件名,类别等)的过滤类型可以使用通配符。输入包含星号(*)的搜索字符串将寻找包含一个或多个字符代替该星号的项目。
例如,搜索标记的类别 * debug *将返回“剩余调试代码”类别中的缺陷。
使用负标准
您可以使用负标准(即,不等于)指定过滤器。负标准可用于排除显示屏中的一组缺陷,例如隐藏所有信息缺陷(严重性= 0)。
要使用负面标准,请执行以下操作:
- 选择要从搜索下拉列表中搜索的列。
- 单击列表旁边的=按钮。这将按钮将按钮切换到Not equals(!=)状态。
- 在文本框中输入搜索标准,或从下拉列表中选择适当的标准。
- 输入输入或单击GO按钮。输入的搜索标准对缺陷列表进行了过滤,并且输入的搜索标准显示在缺陷查看器工具栏上方。
使用元素查找CWE标识符的文档
Provide a copy, or directions to its location, of where your documentation describes the process a user would follow to find the CWE identifiers associated with individual security elements within your capability's repository(必需的):
查看应用程序的静态结果
To access static results, go to the flaw viewer by clicking the Review link from the Applications list, then click the Triage Flaws link in the left navigation menu for the application. Then click on the Static Results link at the top of the page if it is not already selected.
页面底部的网格是可排序的,可用于选择特定的缺陷。网格显示缺陷ID,严重性,可利用性,参数,CWE,位置,状态和缓解状态。单击特定发现会导致缺陷查看器提示您将源代码的本地副本加载到页面顶部的源代码查看器中。
View dynamic results for an application
To access dynamic results, go to the flaw viewer by clicking the View link from the Applications list, then click the Triage Flaws link in the left navigation menu for the application. Then click on the Dynamic Results link at the top of the page if it is not already selected.
As with static scan results, the grid at the bottom of the page is sortable and can be used to select a particular flaw. The grid shows the flaw ID, severity, parameter, CWE, URL, status, and mitigation status. Clicking on a specific finding displays additional details in the top half of the page.
DOCUMENTATION INDEXING OF CWE-RELATED MATERIAL
If your documentation includes an index, provide a copy of the items and resources that you have listed under "CWE" in your index. Alternately, provide directions to where these "CWE" items are posted on your web site(受到推崇的):
Our documentation does not currently include a master index.
Type-Specific Capability Questions
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
VeraCode的CWE覆盖范围地图可在我们面向公共的公司网站上找到http://www.veracode.com/directory/CWE-SANS-TOP-25.html。This information is also available to customers via the Help Center on the Veracode platform.
使用报告中的元素查找CWE标识符
Give detailed examples and explanations of how, for reports that identify individual security elements, the tool allows the user to determine the associated CWE identifier for the individual security elements in the report(必需的):
有关如何使用VeraCode平台的分类缺陷接口查找CWE标识符的详细信息,请参阅问题8。这是一个以开发人员为中心的界面,用于深入到单个缺陷的细节。
在HTML和PDF报告中,发现和建议首先按严重程度(非常高至非常低),然后在每个严重性级别内按CWE标识符进行分组。对于每个CWE标识符,该报告包含该CWE标识符的所有缺陷出现的表。提供了CWE类别的简要说明,以及在cwe.mitre.org上的该类别页面的超链接。
GETTING A LIST OF CLAIMED CWE IDENTIFIER COVERAGE
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
VeraCode的CWE覆盖范围地图可在我们面向公共的公司网站上找到http://www.veracode.com/directory/CWE-SANS-TOP-25.html。This information is also available to customers via the Help Center on the Veracode platform.
我们声称该服务可有效地找到列出的所有CWE类别。Veracode扫描进行严格的测试,以最大程度地减少误报和假否定性,然后再将其引入生产。
该列表反映了Veracode测试使用自动静态和动态扫描的CWE。如果手动渗透测试的结果与扫描结果一起包含,则VeraCode平台可能会报告其他CWES中的缺陷。如果可以将缺陷映射到几个CWES,则VeraCode通常报告描述该特定情况的最通用的CWE(例如,CWE 80是跨站点脚本在其儿童CWES上的首选)。此列表经常更新。
GETTING A LIST OF CWE IDENTIFIERS ASSOCIATED WITH TASKS
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明,所有者声称该服务在软件中有效定位(受到推崇的):
Veracode当前不提供CCR文档。
GETTING A LIST OF CWE IDENTIFIERS ASSOCIATED WITH TASKS
给出详细的示例和解释用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
The Veracode service does not provide direct access to any other products.
媒体问题 ELECTRONIC DOCUMENT FORMAT INFO
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
HTML,PDF和XML格式可用报告。可用的报告包括摘要报告,详细报告或PCI报告,所有这些报告包含所有缺陷的CWE映射。还可以通过VeraCode结果API检索缺陷数据,包括CWE映射。通常用于查看这些数据格式的所有程序具有内置的搜索功能。
CWE标识符的电子文档列表
If one of the capability's standard electronic documents only lists security elements by their short names or titles provide example documents that demonstrate how the associated CWE identifiers are listed for each individual security element(必需的):
CWEidentifiers are always displayed prominently whenever short names are used.
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的):
A sample Veracode PDF report can be found on our public-facing corporate website athttp://www.veracode.com/solutions/get-a-report.html。
图形用户界面(GUI)问题 FINDING ELEMENTS USING CWE IDENTIFIERS THROUGH THE GUI
Give detailed examples and explanations of how the GUI provides a "find" or "search" function for the user to identify your capability's elements by looking for their associated CWE identifier(s)(必需的):
在VeraCode平台中,可以通过CWE类别对缺陷列表进行排序和过滤。VeraCode Analytics允许用户查询其应用程序清单以了解特定CWE类别的流行率。有关使用CWE标识符查找单个安全元素的更多详细信息,请参阅问题7。
GUI ELEMENT TO CWE IDENTIFIER MAPPING
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
Every flaw is associated with a CWE category in the GUI. Hyperlinks to the CWE category on mitre.org are provided alongside the flaw description. Refer to Question 8 for more details on how to find CWE identifiers using the Triage Flaws interface of the Veracode platform.
GUI EXPORT ELECTRONIC DOCUMENT FORMAT INFO
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
HTML,PDF和XML格式可用报告。可用的报告包括摘要报告,详细报告或PCI报告,所有这些报告包含所有缺陷的CWE映射。还可以通过VeraCode结果API检索缺陷数据,包括CWE映射。
签名问题 兼容性
Have an authorized individual sign and date the following Compatibility Statement(必需的):
请参阅上面的答案。
"As an authorized representative of my organization I agree that we will abide by all of the mandatory CWE Compatibility Requirements as well as all of the additional mandatory CWE Compatibility Requirements that are appropriate for our specific type of capability."
名称:克里斯·英格(Chris Eng)
标题:研究副总裁
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
"As an authorized representative of my organization I agree that we will abide by all of the mandatory CWE Compatibility Requirements as well as all of the additional mandatory CWE Compatibility Requirements that are appropriate for our specific type of capability."
名称:克里斯·英格(Chris Eng)
标题:研究副总裁
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 具有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
"As an authorized representative of my organization I agree that we will abide by all of the mandatory CWE Compatibility Requirements as well as all of the additional mandatory CWE Compatibility Requirements that are appropriate for our specific type of capability."
名称:克里斯·英格(Chris Eng)
标题:研究副总裁
More information is available — Please select a different filter.
|
