您的组织名称:
铸造软件 网站:
http://www.castsoftware.com/
兼容功能:
铸造应用智能平台(Cast AIP) 功能主页:
http://www.castsoftware.com/products/application-intelligence-platform
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Cast Application Intelligence平台(AIP)是一种企业级软件质量分析和测量解决方案,旨在分析用于技术脆弱性和遵守建筑和编码标准的多层多技术应用。Cast AIP生成的智能有许多用途:
- 向支持这些复杂系统的应用程序开发团队提供了技术债务的自下而上的视图,并向应用程序开发团队提供了软件工程建议。
- 深入了解与软件包升级相关的风险,能够自动记录复杂的旧系统的能力。
- 提供改善应用程序健康和开发团队绩效所需的实时信息
下面的屏幕截图表示给定应用的各种健康因素的测量值。这些值(或等级)是根据涵盖CWE要求的基本质量规则来计算的。
应用程序分析仪表板的更多详细信息可在在线产品文档中获得:http://doc.castsoftware.com/help/topic/73x/cast-product-documentation----7.3_568426644.html
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
铸造AIP平台可根据CWE要求验证候选应用程序/技术。
例如- 在Cast AIP平台中,我们可以检查分析的应用程序 /项目是否包含与用户数据输入或与目标方法相关的数据相关的特定框架。目标方法是希望利用的黑客攻击的方法。
正如共同弱点枚举(CWE),SANS Institute和Owasp所述,输入验证不当是可能导致安全漏洞的Web编程错误的最高组。
CWE定义了不正确的输入验证:
“当软件无法正确验证输入时,攻击者能够以应用程序的其余部分无法期望的形式制作输入。这将导致系统的一部分接收意外输入,这可能会导致控制流动。,任意控制资源或任意代码执行。”
Cast Management Studio中的用户输入安全功能使用户能够在应用程序源代码中检测不正确的用户输入验证,这可能导致以下安全漏洞:
- SQL注入(CWE-89)
- 跨站点脚本(CWE-79)
- LDAP注射(CWE-90)
- OS命令注射(CWE-78)
- XPath注入(CWE-91)
- 路径操纵(CWE-99)
源代码分析完成后,可以在铸件仪表板中查看结果(即安全漏洞)作为标准质量规则。作为基于数据流的质量规则,可以在带有书签源代码的铸件中跟踪用户输入的流量。
要使用Cast Management Studio在应用程序分析中启用用户输入安全检查,必须通过在应用程序编辑器中的“用户输入安全性”选项卡中添加特定技术配置来激活该功能,如下所示:
示例1:
示例2:
有关如何实施此目的的更多详细信息,请参阅以下网址的产品文档。http://doc.castsoftware.com/help/index.jsp?topic=%2F73X%2FUSER-INPUTER-SECURITY--INPOR--INTERALS_-INTERNALS_568426779.HTML
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(推荐的):
对于每个新的主要版本(在服务包中不需要),我们将安排对CWE内容的更新,以使其与当前的CWE要求保持同步。主要版本每9-12个月发布一次。同时,我们将继续增强对CWE要求的支持。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
在实际发布之前,将了解CWE支持的最新信息,以了解CWE支持的最新信息。发布后,CWE支持更新将在“发行说明”部分和在线产品文档的“安全标准合规性”部分中反映。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
产品网站在以下URL上提供有关CAST AIP CWE支持和CWE兼容性的信息:http://www.castsoftware.com/solutions/application-security/cwe
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
铸造工程仪表板提供了各种不同的视图。
例子:下面的屏幕截图显示了可用的视图,以探索W.R.T的不同区域。
每个视图都会呈现不同级别的信息。调查视图和质量模型钻探视图将为质量规则提供所需的细节(包括CWE定义的安全规则。
有关如何访问所需安全元素的详细信息,请参阅在线产品文档中的以下URL:http://doc.castsoftware.com/display/doc73/using+the+cast+engineering+dashboard
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
Cast仪表板在几个视图中具有内置功能,可访问对统一的“违规观看者”,该视图提供:
- 有关违规状态(新旧或其他)以及健康因素,PRI(传播风险指数),VI(违规指数)和RPF(风险传播因子)值的信息
- 对可扩展部分违反的质量规则的完整描述
- 对违反质量规则的对象的完整描述
- 违反质量规则的对象的代码(如果可用的地方)
- 适用
例子:下面的屏幕截图提供有关特定违规/规则(CWE-89)的详细信息,当使用违规查看器进行浏览时。
有关此主题的更多详细信息,请访问以下在线产品文档URL:http://doc.castsoftware.com/help/topic/73x/violation-viewer_568427016.html
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(推荐的):
CWE元素及其与Cast质量规则的映射发布在以下URL上,在Cast网站上:http://www.castsoftware.com/solutions/application-security/cwe
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
产品分析应用程序后,它将确定代码中的所有安全性违规行为。最终用户可以启动应用程序分析仪表板,以查看安全业务标准违反的所有质量规则。
要查看由Cast平台启用/配置的所有规则,用户可以从Cast Management Studio或Legacy ADG工具中打开评估模型。
例子:下面的CAST ADG屏幕截图列出了各种安全标准/组织列出的几个顶级安全要求,包括OWASP,CWE,PCI和CISQ
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
Cast AIP包含一个单独的工具,称为报告生成器将包括各种报告模板。有一个模板旨在提供有关安全合规性检查的详细信息(包括检查CWE)。
示例应用程序的安全报告中的表格屏幕截图:
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
铸造工程仪表板展示了各种视野。每个视图都提供不同的信息集。
例子要按所有安全规则列出,我们可以使用以下视图。这还将列出所有CWE规则。
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(推荐的):
评估模型中提供了支持的规则。可以从演员管理工作室查看评估模型。
示例:下面的屏幕截图显示了Cast AIP 8.0的评估模型,该模型是从Cast Management Studio开放的。我们可以搜索关键字“ CWE”,并显示与CWE支持相关的所有规则。
有关如何访问评估模型检查或配置规则的详细信息,请参阅以下文档位置:http://doc.castsoftware.com/help/topic/73x/assessment-model-configuration-configuration-access_568426843.html?%22%20%22%61%73%73%65%73%73%22%20%22%6D%6F%64%65%6C%22%20
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(推荐的):
违反CWE规则的源代码将在仪表板上记录并显示。最终用户可以从CWE规则钻探到Cast Application Engineering仪表板上源代码中违反的特定对象。
有关详细信息,请参阅以下URL:http://www.castsoftware.com/solutions/application-security/cwe
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(推荐的):
用户可以浏览在线产品文档以获取支持的CWE标识符列表。
有关详细信息,请参阅以下URL:http://www.castsoftware.com/solutions/application-security/cwe
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(推荐的):
铸造AIP产品允许在运行静态代码分析之前配置/禁用任何质量规则。因此,可以根据用户的喜好配置与CWE要求相对应的规则。可以在演员管理工作室的评估模型中进行配置。请参阅答案。
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(推荐的):
Cast AIP产品将对所有受支持的CWE相关质量规则对候选应用程序进行静态代码分析。应用程序违反的CWE规则将反映在Cast Application Engineering仪表板中。
服务问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
Cast AIP产品是一个静态代码分析平台,可让最终用户提供他们打算扫描/分析结构质量的任何软件源代码。该产品为每种技术嵌入了一组质量规则。该平台还验证了与CWE要求相对应的质量规则。验证结果存储在产品存储库中(知识库和中心基础)。
所有质量规则均映射到5个高级业务标准,例如安全性,性能,鲁棒性,可转移性和可变性。安全业务标准涵盖了与CWE规则相对应的质量规则。
主要有两个仪表板可以介绍静态代码分析的结果。
- 应用程序分析仪表板 - 此仪表板提供了应用程序的投资组合视图。按业务标准为每个分析的申请表明申请质量的呈现等级。仪表板显示分析仪通过每个质量规则确定的各种违规行为。这对于CIO,CTO,VPS,项目经理可以获取投资组合中各种应用程序的全局视图更有用。
- Cast Engineering仪表板 - 此仪表板提供了更多与工程相关的钻探信息,以查看所违反对象的详细信息。如果适用,违反的质量规则将映射到CWE规则。
一种。该仪表板主要由开发人员,项目经理的质量工程师使用,以了解代码中的缺陷,并在适当的情况下修复该缺陷。
例子下面的铸造工程仪表板:
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
最终用户可以参考Cast AIP网站和产品文档(请参阅此URL:http://www.castsoftware.com/solutions/application-security/cwe)了解CWE标识符及其相应的铸造AIP质量规则之间的关联。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
最终用户可以在URL的Cast AIP产品网站中获取支持的CWE标识符的完整列表:http://www.castsoftware.com/solutions/application-security/cwe
获取与任务相关的CWE标识符列表
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明,所有者声称该服务在软件中有效定位(推荐的):
最终用户可以在URL的Cast AIP产品网站中获取支持的CWE标识符的完整列表:http://www.castsoftware.com/solutions/application-security/cwe
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(推荐的):
Cast应用程序智能平台7.3.0版本允许用户可以直接访问安全质量规则(其中包括与CWE相关的规则)。
在线能力问题 使用CWE标识符查找在线功能任务
给用户提供“查找”或“搜索”功能如何使用“查找”或“搜索”功能的详细示例和说明,以通过查找其关联的CWE标识符或通过在线映射将功能的每个元素链接到其关联的在线映射来找到在线功能中的任务CWE标识符(必需的):
该文档仅以在线产品文档中包含的HTML格式可用。可以使用产品文档中的在线搜索设施搜索与CWE相关的信息。
从在线铸造AIP文档中提取的cwe-id/需求/缓解/映射的少数示例:
在线功能接口模板用法
提供有关某人如何使用您的“ URL模板”与功能搜索功能接口的详细说明(推荐的):
例子:您可以在以下“在线产品网站”页面中直接访问Cast AIP质量规则和CWE要求的信息:http://www.castsoftware.com/solutions/application-security/cwe
在线能力CGI获取方法支持
如果URL模板适用于CGI程序,它是否支持HTTP“ GET”方法?(推荐的):
N/A。
使用在线能力元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,在线功能允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
最终用户可以直接引用在线产品网站页面网址:http://www.castsoftware.com/solutions/application-security/cwe在他们的报告中,以引用CWE要求和施放AIP质量规则之间的映射。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释用户如何获得所有者声称在线功能存储库封面的所有CWE标识符的列表(必需的):
Cast AIP产品存储库涵盖/支持在线产品网站链接上列出的CWE规则:http://www.castsoftware.com/solutions/application-security/cwe
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有者声称在线能力的存储库覆盖的所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(推荐的):
请参阅Cast AIP在线产品网站以获取详细信息:http://www.castsoftware.com/solutions/application-security/cwe
CWE标识符映射的在线功能元素
如果未提供单个安全元素的详细信息,请给出示例和解释用户如何获得将每个元素与其关联的CWE标识符链接的映射,否则输入N/A(必需的):
N/A。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
与CWE相关的信息可在在线产品文档中以HTML格式获得。有一个搜索选项可以允许文本搜索。CWE元素或文本可以使用此功能进行搜索。
http://www.castsoftware.com/solutions/application-security/cwe
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
单个CWE标识符在产品网站上列出:http://www.castsoftware.com/solutions/application-security/cwe
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(推荐的):
Cast AIP质量规则之间的映射到各自的CWE标识符,可在Cast AIP产品网站上在线获得:http://www.castsoftware.com/solutions/application-security/cwe
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
最终用户可以访问公共在线文档页面:http://doc.castsoftware.com/help/index.jsp
在搜索字段中,用户可以直接输入CWE要求ID并启动搜索。搜索将显示指向页面上的链接,该链接显示使用CAST AIP规则显示CWE要求映射。此页面上提供相同的信息:http://www.castsoftware.com/solutions/application-security/cwe
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
CWE要求映射到相应的铸造AIP质量规则。
例如下表显示了CWE-89要求的映射。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(推荐的):
该文档仅以在线产品文档中包含的HTML格式可用。可以使用产品文档中的在线搜索设施搜索与CWE相关的信息。请以.CHM格式找到有关质量模型的各种版本(包括CWE规则)的帮助文件。
http://doc.castsoftware.com/display/doc73/metrics+and+Quequality+Rules+Documentation
这些详细信息由产品团队更新/维护。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Jayesh Golatkar
标题:产品经理
准确性
拥有授权的个人标志和日期,以下准确性声明(推荐的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Jayesh Golatkar
标题:产品经理
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Jayesh Golatkar
标题:产品经理
|
