组织名称:
Klocwork公司。 网站:
http://www.klocwork.com
兼容的能力:
Klocwork Insight 能力主页:
http://www.klocwork.com/products/insight/?source=topnav
一般能力问题 产品可访问性< CR_2.4 >
提供的一个简短的描述和你的能力在哪里得到你的客户和公众(必需):
Klocwork商用产品,购买时,可以从Klocwork客户支持门户网站下载(https://my.klocwork.com/)。
映射的问题 地图货币显示< CR_6.1 >
描述和你的能力表明最近CWE内容用于创建或更新其映射(必需):
每个Klocwork / CWE映射文档wiki页面显示CWE的版本使用。
地图货币更新方法< CR_6.2 >
表示你打算多久更新映射,以反映当前CWE内容和描述你的方法来保持合理电流与CWE当他们映射到存储库的内容(推荐):
Klocwork更新CWE映射在其产品在每一个产品发布,它通常包括一个主要的,一个小释放每个日历年度。由于Klocwork的许多客户使用产品中发现安全漏洞源代码,Klocwork努力保持尽可能与CWE的内容更新,并多次重现这个任务在每个发布周期。
地图货币更新时间< CR_6.3 >
描述如何和你解释你的客户他们应该期待一个更新的时间表功能的映射,以反映新CWE内容可用(必需):
因为更新Klocwork的CWE功能映射发生每一次释放,客户期望。此外,我们通常包括CWE兼容性更新在我们交付给客户的产品路线图。
文档的问题 CWE和兼容性文档< CR_5.1 >
提供一个副本,或者它的位置的方向,您的文档描述CWE的为客户和CWE兼容性(必需):
Klocwork提供了许多在其文档wiki页面,描述Klocwork Insight CWE的映射。
对于C / c++:
http://www.klocwork.com/products/documentation/current/CWE_IDs_mapped_to_Klocwork_C_and_C%2B%2B_checkers
2011 CWE-SANS最危险的软件错误(C / c++):
http://www.klocwork.com/products/documentation/current/2011_CWE-SANS_Top_25_Most_Dangerous_Software_Errors_mapped_to_Klocwork_checkers
2010 CWE-SANS最危险的软件错误(C / c++):
http://www.klocwork.com/products/documentation/current/2010_CWE-SANS_Top_25_Most_Dangerous_Software_Errors_mapped_to_Klocwork_checkers
对于Java:
http://www.klocwork.com/products/documentation/current/CWE_IDs_mapped_to_Klocwork_Java_checkers
2011年CWE-SANS最危险的软件错误(Java):
http://www.klocwork.com/products/documentation/current/2011_CWE-SANS_Top_25_Most_Dangerous_Software_Errors_mapped_to_Klocwork_checkers
2011年CWE-SANS最危险的软件错误(Java):
http://www.klocwork.com/products/documentation/current/2010_CWE-SANS_Top_25_Most_Dangerous_Software_Errors_mapped_to_Klocwork_checkers
文档使用CWE找到元素标识符< CR_5.2 >
提供一个副本,或者它的位置的方向,你的文档描述了你的客户如何使用的具体细节CWE标识符查找个人安全元素在你能力的存储库(必需的):
参见上面的问题< 5.1 >。
找到CWE的文档标识符使用元素< CR_5.3 >
提供一个副本,或者它的位置的方向,您的文档描述了过程的用户会发现CWE标识符与个人安全元素在你能力的存储库(必需):
参见上面的问题< 5.1 >。
文档索引CWE-RELATED材料< CR_5.4 >
如果您的文档包含一个索引,提供一份项目和资源,你列在“CWE”指数。交替提供方向,这些“CWE”项目是张贴在你的网站(推荐):
虽然CWE不是特别列出的主要文档wiki的指数,它可以发现当参考项主要指数被选中。见下面的截图:
特定类型的能力问题
工具的问题 使用CWE找到任务标识符< CR_A.2.1 >
详细的例子和解释用户如何定位任务的工具通过寻找相关CWE标识符(必需):
CWE规则的用户可以定位特定实例通过使用“搜索”功能在Klocwork审查(门户在Klocwork Insight报告)。要做到这一点,用户管理页面导航到问题,然后在搜索框中,输入分类:CWE。这将显示所有CWE的实例和相应的规则数量(s)在这个特定的项目。
发现CWE标识符使用元素报告< CR_A.2.2 >
给详细的例子和解释的报告,确定个人安全元素,该工具允许用户确定相关CWE标识符在报告中对个人安全元素(必需):
Klocwork审查是一个功能强大的报表工具,允许用户创建自定义报告各种各样的标准。在这种情况下,用户可以创建一个报告(见下面的截图),显示所有可用CWE的标识符,以柱状图形式,实例的数量,他们发现在该项目中为每个标识符。用户可以向下钻取进一步通过选择他们想看到的任何标识符的具体问题。
除了这种方法,用户可以做一个搜索在Klocwork查看特定CWE标识符。要做到这一点,用户导航到问题管理列表,然后在搜索框中输入分类:cwe参考:403(当然,用户可以输入任何cwe标识他们感兴趣,403年作为例子。他们会看到如下所示的结果。
得到一系列声称CWE标识符覆盖< CR_A.2.3 >
详细的例子和解释用户如何获得一个清单的所有CWE标识所有者声称该工具有效地定位软件(必需):
可以两种不同的方式。第一种方法是查阅产品文档,这清楚地显示所有CWE规则(通过开发语言)覆盖。
第二种方法将从Klocwork审查(在Klocwork Insight报告门户),导航到cwe.pconf。xml文件配置选项卡。一旦cwe.pconf。xml file is opened (see screenshot below), users can clearly see what CWE rules are available. When users expand any of the CWE rules listed, they are able to see which Klocwork checkers are used to provide compatibility.
获得与任务关联CWE标识符的列表< CR_A.2.6 >
详细的例子和解释用户如何获得一个清单的所有CWE标识符与工具的相关任务(推荐):
这可以通过使用相同的步骤中确定的问题< CR_A.2.1 >。
选择任务使用个人CWE标识符< CR_A.2.8 >
描述的步骤,用户会浏览、选择和取消选择一组任务的工具通过使用个人CWE标识符(推荐):
问题12所,用户可以浏览、选择和取消选择的任何CWE标识符通过使用Klocwork的配置编辑器。如以下截图所示,用户可以取消选择所有的特定CWE Klocwork跳棋标识符,或者只是部分套Klocwork跳棋。
媒体的问题 电子文档格式信息< B.3.1 >
提供详细信息您提供的不同的电子文档格式,并描述如何寻找特定CWE-related文本(必需):
Klocwork使用在线文档基于维基百科的方法。在这个文档,用户可以搜索特定CWE-related文本。
电子文档清单CWE的标识符< CR_B.3.2 >
如果一个人的能力的标准电子文档列表安全元素的短名称或标题提供示例文档演示如何列出相关CWE标识符为每个单独的安全元素(必需):
为所有人提供全名和头衔CWE标识符。
电子文档元素CWE标识符< CR_B.3.3 >
提供示例文档演示功能的单个元素映射到各自CWE标识符(s)(推荐):
CWE的所有标识符在我们基于维基百科的文档页面链接到实际CWE标识符。例如,我们CWE-20超链接的列表http://cwe.mitre.org/data/definitions/20.html。这种行为是一致的所有CWE文档标识符。
此外,每个缺陷的页面都有一个安全指南列出所有适用的章节CWE标识符,特定的缺陷。再次,CWE标识符中列出的部分是超链接到对应的页面在mitre.org网站上。
图形用户界面(GUI)的问题 使用CWE找到元素标识符通过GUI < CR_B.4.1 >
给详细的例子和解释的GUI提供了一个“发现”或“搜索”功能为用户识别功能的元素通过寻找相关CWE标识符(s)(必需):
看到问题的答案< CR_A.2.1 >和< CR_A.2.2 >。
CWE GUI元素标识符映射< CR_B.4.2 >
简要描述如何列出相关CWE标识符为个人安全元素或讨论用户可以使用CWE的标识符和功能之间的映射的元素,也描述的格式映射(必需):
CWE标识符可以找到许多不同的页面上在我们的文档。这些页面显示CWE标识符之间的映射和Klocwork缺陷(检查)。这些页面是:
http://www.klocwork.com/products/documentation/current/CWE_IDs_mapped_to_Klocwork_C_and_C%2B%2B_checkers
http://www.klocwork.com/products/documentation/current/CWE_IDs_mapped_to_Klocwork_C_and_C%2B%2B_checkers
此外,所有适用的Klocwork缺陷页面有一个列出所有章节安全指导方针适用于缺陷的安全指导方针。看到更多的细节和截图问题32。
GUI出口电子文档格式信息< CR_B.4.3 >
提供不同的电子文档格式的详细信息,你提供出口或访问CWE-related数据和描述如何寻找特定CWE-related文本(推荐):
. csv, xml和打印功能与适当的打印驱动程序(即。. pdf)。
问题的签名 兼容性声明< CR_2.11 >
有一个授权个人以下兼容性声明写姓名和日期吗(必需):
参见上面的回答< CR_A.2.1 >。
”作为我的组织的授权代表我同意我们将遵守所有的强制CWE的兼容性需求以及所有的额外的强制性CWE兼容性要求适合我们的特定类型的能力。”
名称:阿伦Zukich
标题:产品管理总监
声明的准确性< CR_3.4 >
有一个授权个人以下精度语句写姓名和日期吗(推荐):
”作为我的组织的授权代表和我所知,没有错误在我们能力的存储库之间的映射和特定CWE标识符我们能力报告和那些CWE标识符中尽可能具体CWE库。”
名称:阿伦Zukich
标题:产品管理总监
假阳性和假阴性则声明< CR_B.2.10 >或< CR_B.3.7 >
仅供工具和服务,有一个授权的个人签名和日期如下声明你的工具安全元素的识别效率(必需):
”作为我的组织的授权代表和我所知,没有错误在我们能力的存储库之间的映射和特定CWE标识符我们能力报告和那些CWE标识符中尽可能具体CWE库。”
名称:阿伦Zukich
标题:产品管理总监
|
