您的组织名称:
Parasoft 网站:
www.parasoft.com
兼容功能:
Parasoft Dottest 功能主页:
https://www.parasoft.com/products/dottest/
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
Parasoft Dottest可供许可客户从Parasoft客户门户网站下载https://parasoft.force.com/customerportal。可以在https://www.parasoft.com/products/dottest/。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
Parasoft在其网站的CWE页面上发布CWE地图https://www.parasoft.com/compliance/cwe-compliance/。指向单个产品和版本的链接在页面底部附近“ Parasoft对CWE的支持”。每张地图都有何时与最新信息制作地图的货币日期。
CWE的映射日期和版本的映射显示在每个CWE映射PDF文件的底部:
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
Parasoft CWE功能映射的更新是每个产品版本的一部分。当时,审查了CWE的任何更改以及任何新的CWE规则。我们还评估了从现有映射中评估任何新的或更改的Parasoft规则,以使单个CWE ID与Parasoft规则更好地对齐。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
Parasoft使用常规产品发行更新CWE地图,通常每年3-4次。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
可以在多个地方找到有关一起使用CWE和Parasoft工具的信息。最好的起点是简要概述最佳实践以及系统的设置和工作方式,并且可以在我们的客户门户网站的知识库中找到https://parasoft.force.com/customerportal/communitiesmainpage(需要注册)。在标题之下“使用CWE安全规则”。
本知识库文章说明了如何配置Parasoft工具以使用CWE规则并使用以CWE为中心的仪表板和报告以及在哪里获取更多信息。
每种语言的静态分析引擎都有用户指南。(c/c ++,.net,java)。在本节中“内置测试配置”您可以找到可用的预配置规则集。
有一种配置准备用于CWE前25名而且,您还可以添加或减去规则以制定自己的配置,包括使用Parasoft Rulewizard以图形方式编写自己的自定义规则。每种受支持的语言中都有许多规则超出CWE的前25名。
所有这些文档都可以在安装静态分析产品之一以及在Parasoft客户门户网站后找到安装目录(https://parasoft.force.com/customerportal) 在下面“文档和发行说明”)
此外,在安装目录中,有一个文件记录了所有数百个单独的规则Parasoft工具。可以在工具本身的帮助系统中找到相同的信息。每个规则的文档都有一个部分,该部分解释了标题下的规则的安全问题“安全相关性”,,,,
并在底部提及与该规则相关的标准的任何引用。搜索CWE将找到具有CWE参考的所有规则。
Parasoft有一个“安全合规包”这将我们的报告工具(DTP)置于以CWE为中心的配置中。这在上面的知识库文章中描述了与当前版本的链接。该文档在“ DTP的安全合规包”可以通过我们的客户门户网站获得https://parasoft.force.com/customerportal。
该配置使用幕后的特殊地图(请参阅CR_B.3.3)将标准Parasoft规则ID转换为CWE ID。然后,这使您可以将所有内容视为本地报道为CWE ID。不需要查找与CWE ID相关的问题,或者是特定违规行为是报告中固有的。
在上面的屏幕截图中,您可以在两者中看到CWE ID列出的CWE违规列表。您可以钻入该图表,并获得对特定ID的违规行为的完整列表。另一个有趣的CWE功能是基于CWE的技术影响的图表和列表,如右上角所见,每种影响的规则和违规数量。在右下角,您会看到一棵树图,代表每种技术影响的违规行为。这使您可以专注于最重要的问题。
这组图表和仪表板配备了两种默认配置,如文档中所述,最终用户可以自定义和编辑。当前提供的两个模板是一个用于“ CWE前25名”还有一个“ CWE列表”。这列表版本包括当前映射到CWE ID的所有Parasoft规则,并且比前25名放。这是您在我们网站上的CWE地图中找到的规则列表https://www.parasoft.com/compliance/cwe-compliance/。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
使用带有CWE配置的Parasoft Security Compliance Pack,使用CWE标识符报告所有违规行为,不需要地图或搜索。看CR_5.1
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
使用带有CWE配置的Parasoft Security Compliance Pack,使用CWE标识符报告所有违规行为,不需要地图或搜索。看CR_5.1
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
我们涵盖的CWE项目列表是我们网站上地图的一部分https://www.parasoft.com/compliance/cwe-compliance/。指向单个产品和版本的链接在页面底部附近“ Parasoft对CWE的支持”。
上面的屏幕捕获是CWE地图的示例项目。(看CR_6.1)
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
使用带有CWE配置的Parasoft Security Compliance Pack,使用CWE标识符报告所有任务,不需要地图或搜索。看CR_5.1
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。看CR_5.1
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。看CR_5.1
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。看CR_A.2.1
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(受到推崇的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。看CR_A.2.1
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(受到推崇的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。看CR_A.2.1
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
Parasoft规则文档在PDF中提供了工具安装,以及我们的客户门户网站上的在线版本。https://parasoft.force.com/customerportal。另外,我们支持的CWE规则的完整列表可作为内置配置以及前25名配置。这些配置是文本可编辑的属性文件。我们网站上的CWE地图https://parasoft.force.com/customerportal可用PDF格式。
用户可以使用两种不同的GUI。首选方法是通过Web浏览器使用DTP服务器“安全合规包”以及CWE仪表板和报告(请参阅CR_5.1)。在这种情况下,所有内容都已经使用CWE ID报告。该工具还为Eclipse,Intellij和Visual Studio等各种代码编辑器提供插件。从这些工具中,您可以以各种格式输出报告,例如PDF,HTML,XML等。如果选择此方法,则需要使用上面引用的CWE映射将Parasoft ID转换为CWE ID。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
所有工具输出都使用ID,而不仅仅是短名称或标题。
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的):
我们市场上的安全合规包(请参阅客户门户网站中的文档https://parasoft.force.com/customerportal)包含4个带有映射的XML文件。
XML文件在合规包本身中,并且文档显示了每个文件的目的,如下所示。检查最新文档以获取最新更新。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。(看CR_A.2.1)
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
使用Parasoft Security Compliance Pack和CWE仪表板,使用CWE ID直接列出这些项目。(看CR_A.2.1)
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
用户可以使用两种不同的GUI。首选方法是通过Web浏览器使用DTP服务器“安全合规包”以及CWE仪表板和报告(请参阅CR_5.1)。在这种情况下,所有内容都已经使用CWE ID报告。该工具还为Eclipse,Intellij和Visual Studio等各种代码编辑器提供插件。从这些工具中,您可以以各种格式输出报告,例如PDF,HTML,XML等。如果选择此方法,则需要使用上面引用的CWE映射将Parasoft ID转换为CWE ID。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:亚瑟·希肯(Arthur Hicken)
标题:传教士
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:亚瑟·希肯(Arthur Hicken)
标题:传教士
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:亚瑟·希肯(Arthur Hicken)
标题:传教士
|
