您的组织名称:
Synopsys Inc. 网站:
https://www.synopsys.com/software-integrity.html
兼容功能:
寻求者交互式应用程序安全测试(IAST) 功能主页:
https://www.synopsys.com/software-integrity/security-testing/interactive-applicative-security-testing.html
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
可以将寻求者部署在本地或云中。客户在功能和/或自动化测试工作中使用Seeker来检测和验证应用程序安全漏洞。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
作为软件发行的一部分,Seeker的CWE覆盖能力不断更新和发布:
https://community.synopsys.com/s/
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
Seeker的CWE功能映射的更新经常发生在其软件发布时,每6周就会发生一次。它们包括新的安全检查器,以在受支持的编程语言中找到更多的CWE。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
A new version of Seeker is released every six weeks. CWE mappings are updated/added, as needed, typically when new checkers are introduced. Release announcement, software downloads and documentations are accessible by Seeker customers at Synopsys Software Integrity Group (SIG)社区门户。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
CWE相关信息已被广泛记录。可以从产品中访问(通过单击“帮助”选项卡)并搜索CWE。CWE相关信息可在以下各节中获得:
- 查看应用程序安全标准合规性
- 漏洞
- 脆弱性细节
- 还有很多
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
这是在文档的“漏洞”部分中记录的。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
请参阅上述响应和示例屏幕截图。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
N/A。寻求者文档没有索引。但是文档很容易搜索。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
看above responses in section和。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
搜索者安全报告显示了分析项目中的严重性和合规性检测到的所有漏洞。它还提供了CWE标识符,通过或失败相关的CWE分类的漏洞的详细分解。请参阅下面的屏幕截图。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
请参阅部分中的回答,,,,,,,,。
使用CCR提供索取的CWE标识符覆盖范围
Give a detailed explanation of how a user can find the Coverage Claim Representation (CCR) XML document with all of the CWE Identifiers that the owner claims the tool is effective at locating in software(受到推崇的):
N/A。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
Seeker提供了用于在软件项目中导航和过滤一组缺陷的UI。请参阅部分中的回答和。
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(受到推崇的):
请参阅部分。
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(受到推崇的):
N/A当前寻求者通过UI或以报告的形式提供漏洞,如图所示和。
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(受到推崇的):
如果用户搜索Seeker没有映射的CWE-ID,则根本不会返回缺陷。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
搜索者客户和用户可以通过Seeker Software UI和相关的在线帮助资源获得所有CWE标识符的列表。由于IAST技术/解决方案以非常快速且频繁的速度发布,因此CWE信息目前无法公开访问或维护。但是,如果MITER需要查询检查员当前CWE映射的副本,我们可以为您的内部参考目的提供列表。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
看
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请查看早期的答复。
GUI元素到CWE标识符映射
Briefly describe how the associated CWE identifiers are listed for the individual security elements or discuss how the user can use the mapping between CWE identifiers and the capability’s elements, also describe the format of the mapping(必需的):
请查看早期的答复。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
N/A。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:Asma Zubair
标题:产品管理,寻求者
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:Asma Zubair
标题:产品管理,寻求者
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:Asma Zubair
标题:产品管理,寻求者
|
