组织名称:
AdaCore 网站:
www.adacore.com
兼容的能力:
CodePeer 能力主页:
http://www.adacore.com/codepeer
一般能力问题 产品可访问性< CR_2.4 >
提供的一个简短的描述和你的能力在哪里得到你的客户和公众(必需):
CodePeer可从Adacore年度订阅费用,并且可以托管在Windows或Linux O / S,针对任何利益目标体系结构。有关更多信息,联系sales@adacore.com
映射的问题 地图货币显示< CR_6.1 >
描述和你的能力表明最近CWE内容用于创建或更新其映射(必需):
CWE的用户文档功能将显示的版本CWE用于标签CWE挑肥拣瘦的和其他CWE指标。
地图货币更新方法< CR_6.2 >
表示你打算多久更新映射,以反映当前CWE内容和描述你的方法来保持合理电流与CWE当他们映射到存储库的内容(推荐):
AdaCore每年所有产品的主要版本,和一年中bug修复版。在这些时间,我们将确保CWE功能的文档是最新的。
我们也会更新文档更新个人信息匹配新的CWE修订。
地图货币更新时间< CR_6.3 >
描述如何和你解释你的客户他们应该期待一个更新的时间表功能的映射,以反映新CWE内容可用(必需):
我们的客户支持工具GNATTracker AdaCore和我们的客户之间的通信的主要方式:
文档的问题 CWE和兼容性文档< CR_5.1 >
提供一个副本,或者它的位置的方向,您的文档描述CWE的为客户和CWE兼容性(必需):
http://docs.adacore.com/codepeer-docs/users_guide/_build/html/messages_and_annotations.html
文档使用CWE找到元素标识符< CR_5.2 >
提供一个副本,或者它的位置的方向,你的文档描述了你的客户如何使用的具体细节CWE标识符查找个人安全元素在你能力的存储库(必需的):
http://docs.adacore.com/codepeer-docs/users_guide/_build/html/viewing_output.html
找到CWE的文档标识符使用元素< CR_5.3 >
提供一个副本,或者它的位置的方向,您的文档描述了过程的用户会发现CWE标识符与个人安全元素在你能力的存储库(必需):
http://docs.adacore.com/codepeer-docs/users_guide/_build/html/messages_and_annotations.html
文档索引CWE-RELATED材料< CR_5.4 >
如果您的文档包含一个索引,提供一份项目和资源,你列在“CWE”指数。交替提供方向,这些“CWE”项目是张贴在你的网站(推荐):
在线文档系统支持按关键字搜索。这是生产的URL输入“cwe”搜索框:
特定类型的能力问题
工具的问题 使用CWE找到任务标识符< CR_A.2.1 >
详细的例子和解释用户如何定位任务的工具通过寻找相关CWE标识符(必需):
用户可以选择感兴趣的特定CWE标识符使用复选框在GPS CodePeer报告窗口。通过CWE复选框,CWE描述变得可见。这里我们有一个屏幕截图,只有一个CWE项检查,即CWE 835(循环不可到达的退出条件)。我们可以深入到实际的源代码通过点击感兴趣的消息。
在第二个例子中,我们选择了两个CWE标识符。通过检查或取消勾选相关的框,消息的摘要提供给左边的复选框显示的数量和位置出现与所选CWE的消息标识符。在这个例子中,我们selecte两CWE标识符(118和125),和消息摘要显示选中的消息数(1高排名,1中排名消息),和下面的位置窗口显示了实际的消息,由源文件:
发现CWE标识符使用元素报告< CR_A.2.2 >
给详细的例子和解释的报告,确定个人安全元素,该工具允许用户确定相关CWE标识符在报告中对个人安全元素(必需):
在上面的例子中可以看到,CWE标识符包含在方括号在CodePeer任何消息后,提供“包括CWE id”已经在GPS CodePeer项目属性页面中选择:
得到一系列声称CWE标识符覆盖< CR_A.2.3 >
详细的例子和解释用户如何获得一个清单的所有CWE标识所有者声称该工具有效地定位软件(必需):
每条消息中描述CodePeer用户手册(帮助/ CodePeer /手动)标识相关CWE标识符,如果任何。此外,CodePeer报告消息窗口,所有CWE标识符与当前CodePeer运行的任何消息都包含在一组复选框下方“CWE类别。”As indicated above, by hovering over any one of these CWE identifiers, a longer description will be displayed.
这是一部分CodePeer用户手册显示CWE的清单与run-time-check相关标识符的消息:
获得与任务关联CWE标识符的列表< CR_A.2.6 >
详细的例子和解释用户如何获得一个清单的所有CWE标识符与工具的相关任务(推荐):
看到部分(A.2.3)以上。
选择任务使用个人CWE标识符< CR_A.2.8 >
描述的步骤,用户会浏览、选择和取消选择一组任务的工具通过使用个人CWE标识符(推荐):
看到部分(A.2.1)以上。通过检查或取消勾选CWE感兴趣的标识符,CodePeer将包括或排除消息相关的CWE标识符。
后援的通知要求CWE标识符< CR_A.2.9 >
提供一个描述的工具通知用户任务与选择CWE标识符不能被执行(推荐):
CodePeer只显示CWE标识符与至少一个相关联的消息由当前CodePeer运行。
媒体的问题 电子文档格式信息< B.3.1 >
提供详细信息您提供的不同的电子文档格式,并描述如何寻找特定CWE-related文本(必需):
CodePeer可以生成文本,CSV(逗号分隔值)和XML文件格式。文本文件是一个简单的列表消息的前缀与“文件名:行:列:”。产生的文本文件是通过调用“codepeer_msg_reader”与“CWE”选项在命令行上,请求CWE标识符包含消息后。例如:
% codepeer_msg_reader cwe test.output
看到(B.3.2)下面的样例输出。
CSV文件适用于加载到一个电子表格,它包括一个包含CWE CWE列标识符(s)与给定的消息。CSV文件是由在命令行上调用“codepeer_msg_reader”与“CSV”选项。例如:
% codepeer_msg_reader csv prj.output
CSV文件也可以使用GUI(见项目(B.4.3)下面)。
定义的XML格式是基于原来的格式的NIST SAMATE项目(http://samate.nist.gov/SATE.html),是由以下描述:
满足V输出格式是一样的满足2010格式。满足2008年和2009年输出子集,因此符合最新版本。
在满足工具输出格式,每个警告包括:
- Id -一个简单的计数器,独特的内部报告。
- (可选)工具特定id。
- 一个或多个位置,每个位置有:
- (可选)id -路径id。如果一个工具产生几个路径的弱点,可以使用id来区分它们。
- 行——行号。
- 路径,文件路径。
- (可选)片段——相关的源代码片段的位置。
- (可选)的解释——为什么位置或相关变量的影响。
- 名(类)的弱点,例如,“缓冲区溢出”。
- (可选)CWE id,适用。
- 弱点年级(分配的工具):
- 严重的1到5,1 -最高。
- (可选)概率问题是一个真正的积极,从0到1。
- (可选)tool_specific_rank -工具具体指标有用工具不使用严重程度和概率。如果一个团队使用这个字段,它必须单独提供定义,规模,可能的值。
- 输出——原始消息来自工具的弱点,在纯文本、HTML或XML。
- (可选)警告,人类的评估;不被认为是工具输出的一部分,包括:
- (可选)正确性——人类弱点的分析,几个类别之一。使用这个,而不是弃用“falsepositive”属性
最新的满足XML schema文件可以在这里下载(http://samate.nist.gov/SATE5/resources/sate5.pathcheck.xsd)。
CWE标识符包含在<名称…>标记由“cweid = nnn”属性。
XML文件是由调用“samate_msg_reader”在命令行上。
例如:
% samate_msg_reader lib.output
看到(B.3.2)下面的样例输出。
电子文档清单CWE的标识符< CR_B.3.2 >
如果一个人的能力的标准电子文档列表安全元素的短名称或标题提供示例文档演示如何列出相关CWE标识符为每个单独的安全元素(必需):
下面是示例输出从“codepeer_msg_reader cwe prj.output”。CWE的
标识符后括号中给出消息类型:
% codepeer_msg_reader cwe prj.output
dining_philosophers。亚行:46:36:中等:范围检查[118]可能会失败:需要
(Still_Eating - 1) > = 0
dining_philosophers。亚行:46:20:中等警告:无保护
Still_Eating通过访问[362366367374820]
dining_philosophers.person 'Task_Type_Body
dining_philosophers。亚行:46:23:中等警告:无保护
Still_Eating通过访问[362366367374820]
dining_philosophers.person 'Task_Type_Body
dining_philosophers。亚行:46:20:低警告:无保护的共享
Still_Eating通过访问[362366367374820]
dining_philosophers.bus_boy 'Task_Body
dining_philosophers。亚行:46:23:低警告:无保护的共享
Still_Eating通过访问[362366367374820]
dining_philosophers.bus_boy 'Task_Body
dining_philosophers。亚行:54:20:低警告:无保护的共享
Still_Eating通过访问[362366367374820]
dining_philosophers.bus_boy 'Task_Body
dining_philosophers。亚行:56:13:低警告:无保护的共享
Still_Eating通过访问[362366367374820]
dining_philosophers.bus_boy 'Task_Body
dining_philosophers。亚行:61:23:中等警告:[561]因为测试总是如此
Num_Forks 1 . . 5
dining_philosophers。亚行:68:10:高:数组索引检查[124 - 127129
131135170193]失败:需要Num_Forks 1 . . 5
dining_philosophers。亚行:72:8:中等警告:[561]因为Num_Forks死代码
1 . . 5
test_dining_philosophers。亚行:3:1:高警告:subp总是失败:
所有可能的输入test_dining_philosophers失败
test_dining_philosophers。亚行:7:30:高:前提(数组索引检查[124 -
127129 - 131135170193年)在test_dining_philosophers失败。fork_ref:需要
我在1 . . 5
test_dining_philosophers。亚行:22:30:高:访问检查[252 - 253476]失败:
需要(Fork_Ref(4)) / =零
test_dining_philosophers。亚行:实在:高:前提(范围检查[118])
test_dining_philosophers失败。fork_ref:需要Fork_Ref_Counter <= 9
这是samate_messages的一部分”。xml文件由“samate_msg_reader
prj.output”:
< ?xml version="1.0"?>
<报告>
<弱点id = " 1 " tool_specific_id = " 58 " >
<名称cweid = " 118 " >范围检查< /名称>
< = " / dining_philosophers位置路径。adb“行= " 46 " / >
<级严重性= " 2 " / >
<输出>
< textoutput >可能会失败:要求(Still_Eating - 1)在= 0 < / textoutput >
< textoutput > complete_cweids = 118 < / textoutput >
< /输出>
< /弱点>
<弱点id = " 2 " tool_specific_id =“54”>
<名称cweid = " 366 " >无保护访问< /名称>
< = " / dining_philosophers位置路径。adb“行= " 46 " / >
<级严重性= " 2 " / >
<输出>
< textoutput > Still_Eating通过dining_philosophers.person 'Task_Type_Body < / textoutput >
< textoutput > complete_cweids = 362366367374820 < / textoutput >
< /输出>
< /弱点>
<弱点id = " 3 " tool_specific_id =“56”>
<名称cweid = " 366 " >无保护访问< /名称>
< = " / dining_philosophers位置路径。adb“行= " 46 " / >
<级严重性= " 2 " / > <输出>
< textoutput > Still_Eating通过dining_philosophers.person 'Task_Type_Body < / textoutput >
< textoutput > complete_cweids = 362366367374820 < / textoutput >
< /输出>
< /弱点>
。
< /报告>
图形用户界面(GUI)的问题 使用CWE找到元素标识符通过GUI < CR_B.4.1 >
给详细的例子和解释的GUI提供了一个“发现”或“搜索”功能为用户识别功能的元素通过寻找相关CWE标识符(s)(必需):
看到项(A.2.1)以上。
CWE GUI元素标识符映射< CR_B.4.2 >
简要描述如何列出相关CWE标识符为个人安全元素或讨论用户可以使用CWE的标识符和功能之间的映射的元素,也描述的格式映射(必需):
看到项(A.2.2)以上。
GUI出口电子文档格式信息< CR_B.4.3 >
提供不同的电子文档格式的详细信息,你提供出口或访问CWE-related数据和描述如何寻找特定CWE-related文本(推荐):
一个逗号分隔值(csv)可以生成报告从GPS使用CodePeer菜单中,选择“生成csv报告。”This will produce a "codepeer.csv" file, which when opened as a spreadsheet, will have a CWE column which will identify the relevant CWE identifier(s) associated with each message.
问题的签名 兼容性声明< CR_2.11 >
有一个授权个人以下兼容性声明写姓名和日期吗(必需):
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:塔克塔夫脱
标题:语言研究的副总裁和董事
声明的准确性< CR_3.4 >
有一个授权个人以下精度语句写姓名和日期吗(推荐):
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:塔克塔夫脱
标题:语言研究的副总裁和董事
假阳性和假阴性则声明< CR_B.2.10 >或< CR_B.3.7 >
仅供工具和服务,有一个授权的个人签名和日期如下声明你的工具安全元素的识别效率(必需):
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:塔克塔夫脱
标题:语言研究的副总裁和董事
|
