CWE

普遍的弱点

社区开发的软件和硬件弱点类型清单
2021 CWE最重要的硬件弱点
CWE前25个最危险的弱点
>兼容性>与CWE兼容的产品和服务
ID

您的组织名称:

编程研究有限公司

网站:

www.prqa.com/

兼容功能:

QA∙C分析组件具有CWE C合规模块

功能主页:

http://www.prqa.com/content/literature/prqa-qac.pdf

一般能力问题

产品可访问性

简要说明如何以及在何处将您的能力提供给客户和公众(必需的)

通过产品FTP网站可以向有执照的客户提供编程研究工具,其中包括QA∙Cv。9.1.0带有CWE C V.1.0.0。请联系support@programmingryresearch.com用于访问。

回到顶部
映射问题

地图货币指示

描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的)

在合规模块手册中报告了用于创建CWE C合规模块的CWE内容的完整说明,以PDF格式获得,作为合规模块安装的一部分。

地图货币更新方法

表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的)

在合规模块手册中报告了用于创建CWE C合规模块的CWE内容的完整说明,以PDF格式获得,作为合规模块安装的一部分。

地图货币更新时间

描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的)

编程研究每6个月发布一次产品更新,并向客户告知更改,包括更新CWE功能映射。

回到顶部
文档问题

CWE和兼容性文档

提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的)

CWE C合规模块的完整说明在合规模块手册中报告,以PDF和HTML格式可用,作为合规模块安装的一部分。
这可以在文件夹中专门找到:
\组件\ cweccm-1.0.0 \ doc- <语言文化> \ component_manual \

使用CWE标识符查找元素的文档

提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):

CWE标识符和单个安全元素之间的映射可以在两个不同的位置访问:
1 - 作为文档的一部分,可以在§6上描述的位置找到
2 - 来自项目属性中的规则配置对话框:

CR_5.2:CWE-121对OAC 9.1.0检查的映射
图1- CWE-121对QAC 9.1.0检查的映射

使用元素查找CWE标识符的文档

提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的)

该工具提供的诊断中会自动指示,指代与特定违规相关的弱点的CWE ID自动指示。在GUI中,这发生在分析/结果诊断窗格中,其中每次发生检查都有相应的ID(或ID发生多次违规情况):

CR_5.3:消息QAC-9.1.0-0184映射到多个CWE ID
图2-消息QAC-9.1.0-0184映射到多个CWE ID

与CWE相关材料的文档索引

如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的)

文档第5节“规则交叉引用”中有一份全面的CWE项目列表,该列表作为CWE C COMPIANCE模块的一部分包含。

回到顶部

特定于类型的功能问题

工具问题

使用CWE标识符查找任务

给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的)

GUI允许按规则或规则组过滤分析结果;由于CWE C遵从性模块从组织的角度将CWE弱点视为“规则”,因此这允许隔离诊断的所有发生,这些诊断是指违反特定CWE实例的行为:

CR_A.2.1:在CWE-134上过滤 CR_A.2.1:在CWE-134上过滤 CR_A.2.1:在CWE-134上过滤
图3 CWE-134上的过滤

使用报告中的元素查找CWE标识符

给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的)

作为报告生产过程的一部分,该工具以便携式格式(XML)生成结果数据文件,从中可以提取由CWE元素分组的分析检查的单个出现。

获取声称的CWE标识符覆盖范围

给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的)

可以在两个不同的位置访问映射到它们的CWE标识符和个人安全元素列表:
1 - 作为文档的一部分,可以在§6上描述的位置找到
2 - 来自项目属性中的规则配置对话框:

CR_A.2.3:CWE-121对QAC 9.1.0检查的映射
图4- CWE-121对QAC 9.1.0检查的映射

CWE覆盖信息表也可在PRQA网站上找到
http://www.prqa.com/wp-content/uploads/2016/09/cwe_mapping_2qac.pdf

获取与任务相关的CWE标识符列表

给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的)

该工具功能涵盖的CWE ID的完整列表可在CWE合规模块提供的文档中获得,更具体地说是“ 5 - 规则交叉引用”和“ 6 - 规则执行”部分。

使用CWE标识符列表选择任务

描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(受到推崇的)

安全检查和受影响的CWE ID之间的对应关系通过配置文件(在特定案例规则配置文件 - RCF)提供。因此,用户不需要执行映射操作。

使用单个CWE标识符选择任务

描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(受到推崇的)

如前所述,有一组预定义的检查,该检查分配给了该工具涵盖的每个CWE ID。对于每个CWE ID,都有可能从“项目属性”对话框(可从GUI和CLI访问)浏览,选择和取消选择检查:

1 - 在“规则配置”选项卡中,选择要修改的CWE ID(例如CWE-14)。将显示相应的电流映射:

CR_A.2.8

2 - 右键单击​​,然后单击“消息”。将弹出一个“规则执行消息”对话框:

CR_A.2.8

3 - 为所选组件扩展“消息”菜单,可以选择/取消选择单个消息。可选的自定义消息可在“用户消息”菜单下找到:

CR_A.2.8
回到顶部
服务问题

使用CWE标识符查找任务

给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的)

从“项目属性”对话框中,在“规则配置”选项卡中,所有CWE IDS的映射都可以使用:

CR_A.3.1

可以从“帮助/help/help/cul/cweccm)访问相同的映射:

CR_A.3.1

对于映射的每个消息,都可以咨询专用的帮助文件部分,富含解释和示例(GUI/help/help//组件帮助/消息):

CR_A.3.1

使用报告中的元素查找CWE标识符

给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的)

作为报告生产过程的一部分,该工具以便携式格式(XML)生成结果数据文件,从中可以提取由CWE元素分组的分析检查的单个出现。

获取声称的CWE标识符覆盖范围

给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的)

该工具功能涵盖的CWE ID的完整列表可在CWE合规模块提供的文档中获得,更具体地说是“ 5 - 规则交叉引用”和“ 6 - 规则执行”部分。

回到顶部
媒体问题

电子文档格式信息

提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的)

该文档以HTML和PDF格式分发;因此,与超文本索引一起,完整的搜索能力在格式中是固有的(例如,PDF阅读器中的PDF搜索的经典CTRL+F)。

CWE标识符的电子文档列表

如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的)

对于映射的每个消息,都可以咨询专用的帮助文件部分,富含解释和示例(GUI/help/help//组件帮助/消息):

CR_B.3.2

CWE标识符的电子文档元素

提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的)

对于映射的每个消息,都可以咨询专用的帮助文件部分,富含解释和示例(GUI/help/help//组件帮助/消息):

CR_B.3.3
回到顶部
图形用户界面(GUI)问题

通过GUI 使用CWE标识符查找元素

给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的)

有关功能元素和CWE ID之间映射的信息以HTML和PDF格式分布;因此,与超文本索引一起,完整的搜索能力在格式中是固有的(例如,PDF阅读器中的PDF搜索的经典CTRL+F)。

GUI元素到CWE标识符映射

简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的)

在帮助上报告了与单个安全元素(消息)关联的CWE ID的列表。对于映射的每个消息,都可以咨询专用的帮助文件部分,富含解释和示例(GUI/help/help//组件帮助/消息):

CR_B.4.2

映射信息格式是便携式(XML),因此用户可以使用通常的仪器(XML解析器,自定义脚本等)直接操作。

GUI导出电子文档格式信息

提供有关您提供的不同电子文档格式的详细信息(受到推崇的)

可以以两种主要模式导出与CWE相关的数据:
1 - 报告:完全可自定义,默认情况下可以在HTML和文本模式下输出,但是其他格式可能取决于用户执行的报告生成操作。
2 - 带注释的来源:这种模式仅在专用许可的基础上,仅用于命令行(CLI)操作。输出格式为HTML

回到顶部
签名问题

兼容性

拥有授权的个人标志和日期以下兼容性声明(必需的)

“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

姓名:吉尔·布里顿(Jill Britton)

标题:CSG经理

准确性

拥有授权的个人标志和日期,以下准确性声明(受到推崇的)

“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

姓名:吉尔·布里顿(Jill Britton)

标题:CSG经理

关于falsepitions和false-sengatives 和/或的声明

仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的)

“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

姓名:吉尔·布里顿(Jill Britton)

标题:CSG经理

回到顶部
提供更多信息 - 请选择其他过滤器。
页面最后更新:2018年4月2日

使用共同弱点枚举(CWE)和本网站的相关参考使用条款。CWE由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI)由manbetx客户端首页(MITER)。版权所有©2006–2023,Miter Comanbetx客户端首页rporation。CWE,CWSS,CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页