您的组织名称:
Synopsys Inc. 网站:
https://www.synopsys.com/software-integrity.html
兼容功能:
掩护 功能主页:
https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast.html
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
覆盖率可以部署在本地,空间环境或云中。客户使用Coverity Connect(Coverity's UI)来查看Coverity分析发现的分类问题。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
Coverity的CWE覆盖能力在此处不断更新:
https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast/coverity-cwe.html
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(推荐的):
每个产品版本都会发生Coverity的CWE功能映射的更新,其中通常包括新的安全检查器,以使用更多编程语言查找更多的CWE。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
Coverity的CWE功能映射更新发生在每个主要版本中,这在春季和秋季一次发生一次。客户已经成长为了解这一点。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
Coverity Connect使用和管理指南的第2.2.4节介绍了CWE支持,作为理解缺陷影响的有用工具:
Coperity的CWE功能映射发布在我们的公共网站上:https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast/coverity-cwe.html
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
第2.4.2.1.1节。Coverity Connect使用使用和管理指南的介绍了如何通过包括CWE ID在内的各个字段过滤缺陷:
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
请参阅CR_5.1 - CWE标识符显示在缺陷分类面板(右上角)中的突出,直观的位置显示,并且在缺陷列表和每个缺陷报告屏幕列表中可用。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(推荐的):
封面文档不提供索引。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
过滤和优先级缺陷是掩护的主要特征。用户可以通过选择“过滤器”菜单并输入过滤条件中的相关CWE-ID来通过CWE标识符找到缺陷
步骤1:右键单击报告列表(屏幕左侧)中的所需报告,然后选择“过滤器…”选项。
步骤2:在CWE过滤框中输入相关的CWE-ID,然后保存视图。现在,当前的用户和与他们共享视图的其他用户可以查看该视图。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
封面安全报告显示,分析项目中确定的安全性弱点最高。每个发现包括相关的CWE标识符以及发行严重性,描述和补救建议:
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
用户可以从Synopsys软件完整性网站上找到所有CWE标识符的列表:https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast/coverity-cwe.html
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(推荐的):
Coverity Connect当前不提供CCR XML文档。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(推荐的):
Coverity Connect提供了用于在软件项目中导航和过滤一组缺陷的UI。CWE-ID是一个可选的,可用的列,在用户可以用来了解Coverity发现如何映射到特定CWE标识符的缺陷列表中。
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(推荐的):
用户可以使用CWE标识符列表创建新的个人或共享视图/报告。为此,创建了一个新的视图/报告,并指定过滤器。CWE-ID可能不会从外部文本文件中加载,但是这些报告已保存并易于重新加载。
步骤1:单击“+”按钮以创建新报告
步骤2:从CWE过滤器中选择所需的CWE-ID
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(推荐的):
请参阅答案
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(推荐的):
如果用户搜索覆盖率没有映射的CWE-ID,则根本不会返回缺陷。在UI中没有迹象表明ID未覆盖。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
用户可以在Synopsys软件完整性网站上获取所有CWE标识符封面封面的列表:https://www.synopsys.com/software-integrity/security-testing/static-analysis-sast/coverity-cwe.html
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
看
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请参阅和
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
请参阅和
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(推荐的):
N/A。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:詹姆斯·克罗尔(James Croall)
标题:产品管理总监,保险公司
准确性
拥有授权的个人标志和日期,以下准确性声明(推荐的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:詹姆斯·克罗尔(James Croall)
标题:产品管理总监,保险公司
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:詹姆斯·克罗尔(James Croall)
标题:产品管理总监,保险公司
|
