您的组织名称:
Tsinghua大学软件学院 网站:
www.thss.tsinghua.edu.cn
兼容功能:
TSMART静态分析仪 功能主页:
http://info.tsmart.tech
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
用户可以购买TSMART的正式许可,也可以通过邮寄到tsmart.project@gmail.com要求TSMART的评估副本。可以在http://info.tsmart.tech。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
TSMART的用户手册包含详细的CWE映射信息,包括使用的CWE版本,内部缺陷名称及其关联的CWE标识符之间的关系以及指向官方CWE说明页面的链接。有关更多信息,请访问http://info.tsmart.tech/usermanual/man_en.html#the-capability-of-tsmart。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
每个产品发布时都会在工具和文档中对TSMART的CWE功能映射进行更新。TSMART的主要发布计划于每年12月发布。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
TSMART的CWE功能映射在主要版本后每年每年一次更新一次。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
在“简介”部分中,“术语”(http://info.tsmart.tech/usermanual/man_en.html#terms)描述了CWE的概念(图1),而“ CWE兼容性”小节描述了CWE兼容性的概念以及TSMART如何满足CWE兼容性的要求(图2)。
图1 CWE的定义。
图2 CWE兼容性的描述。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
在“用法”部分中,“分析结果综述”(http://info.tsmart.tech/usermanual/man_en.en.html#review-review-of-analisy-results)描述了如何使用CWE标识符(图3)。
图3有关用户如何使用CWE标识符滤除缺陷的描述。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
在“用法”部分,小节“分析结果审查”(http://info.tsmart.tech/usermanual/man_en.html#review-of-analysis-results)描述每个缺陷条目如何与CWE标识符关联。((图4)。此外,每个缺陷条目都与内部缺陷名称关联,并且从缺陷名称到CWE标识符的映射在“介绍”部分中的“ TSMART的功能”中给出(图5)。
图4关于每个缺陷如何与CWE标识符关联的描述。
图5将内部缺陷名称映射到CWE标识符的表。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
TSMART允许用户指定CWE标识符或缺陷名称,例如TSMART根据指定的缺陷检查输入源代码。更具体地说,以下命令对CWE 190和CWE 369执行检查源代码。
> java -jar tsmartanalyze.jar -manual [src_path] -cwe = 190,369
以下命令根据给定的配置/path/to/config.properties执行源代码检查源代码
> java -jar tsmartanalyze.jar -manual [src_path] -config =/path/to/for/config.properties
所使用的配置包含以下行,该行将Integer_overflow和Div_zero作为目标缺陷类型。
checker.weaknessforcheck = integer_overflow,div_zero
根据TSMART文档中给出的CWE映射信息,Integer_overflow和div_zero分别对应于CWE 190和CWE 369。
此外,TSMART的错误可视化器支持CWE标识符或搜索框中的缺陷名称过滤缺陷,如图6显示。
图6通过CWE标识符(顶部)或缺陷名称(底部)过滤缺陷。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
单个缺陷与CWE标识符相关联。单击CWE标识符后,在“错误列表”面板下的CWE详细信息面板中介绍了某些CWE标识符以及指向CWE参考的链接,作为图7显示。
图7单个缺陷的关联CWE标识符的详细信息。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
用户可以在TSMART文档中获得TSMART支持的CWE标识符列表(TSMART的功能”(http://info.tsmart.tech/usermanual/man_en.html#the-capability-of-tsmart)。
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(受到推崇的):
当前TSMART不提供CCR XML文档。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
错误可视化器网页中的“错误列表”面板具有“ CWE”列,该列列出了每个缺陷的关联CWE标识符,图8显示。
图8显示缺陷列表的CWE标识符的CWE列。
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(受到推崇的):
请参考答案<CR_A.2.1>。
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(受到推崇的):
请参考答案<CR_A.2.1>。
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(受到推崇的):
如果用户指定了不支持的CWE标识符,则TSMART会立即终止并打印错误消息,指示当前没有支持给定的CWE标识符。示例错误消息如下。
不支持的CWE编号:5
请参阅用户手册以获取支持的CWE:http://info.tsmart.tech/usermanual/man.html
其中5是当前分析任务中指定的CWE标识符。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
主要文档以HTML格式为单位。用户可以在Web浏览器中访问用户手册,并通过内置搜索功能搜索与CWE相关的特定文本,通常可以通过“ CTRL + F”调用。例如,可以搜索“ CWE兼容性”以获取有关TSMART的CWE兼容性的信息,图9显示。
图9在HTML文档中搜索“ CWE兼容性”。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
在缺陷报告中,每个缺陷条目都有一个“ CWE”字段,该字段列出了某些缺陷的关联CWE标识符。每个缺陷也与其“弱点”字段中的缺陷名称相关联,根据TSMART文档中的CWE映射关系,可以将给定的缺陷名称映射到其关联的CWE标识符(http://info.tsmart.tech/usermanual/man_en.html#the-capability-of-tsmart)。
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的):
CWE映射关系可在TSMART文档中的“ TSMART的能力”小节中获得(http://info.tsmart.tech/usermanual/man_en.html#the-capability-of-tsmart)。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
TSMART的错误可视化器支持CWE标识符或搜索框中的缺陷名称过滤缺陷,如图6显示。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
错误可视化器网页中的“错误列表”面板具有“ CWE”列,该列列出了每个缺陷的关联CWE标识符,图8显示。
另外,一旦单击与单个缺陷关联的CWE标识符,在“错误列表”面板下的CWE详细信息面板中介绍了某些CWE标识符以及指向CWE参考的链接的描述,图7显示。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
TSMART的静态分析条目,即TSMARTANALYZE,输出分析作为指定输出路径下的XML文件。最终的XML文件由TSMART的错误可视化器模块进一步处理,以更友好的方式呈现分析结果。尽管如此,在文本编辑器的Web浏览器中打开所得XML文件还是可行的。XML文件示例如图10所示。结果XML文件存储缺陷条目以及详细信息,例如缺陷类型,缺陷名称,位置和执行跟踪,导致某些缺陷。<结果>元素将信息存储在单个缺陷上,弱点属性存储缺陷名称。元素元素记录与缺陷关联的CWE数字。可以通过基础Web浏览器或文本编辑器的内置搜索功能来搜索与CWE相关的特定文本。
图10部分结果XML文件的示例。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:最小周
标题:项目总监
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:最小周
标题:项目总监
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:最小周
标题:项目总监
|
