您的组织名称:
安全审稿人 网站:
https://www.securityreviewer.net
兼容功能:
静态评论者 功能主页:
https://securityreviewer.atlassian.net/wiki/spaces/kc/pages/1966633/static+reviewer++code+code+inspection
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
安全审阅者根据40多种支持的编程语言执行代码检查。它集成了静态分析(SAST)和动态分析(IAST)。
它可以在几种主机类型的前提上100%安装,甚至虚拟化,内部容器或云中。
每个容器图像都有一个dockerfile,在我们的github空间上可用,并保留了现有客户的访问权限。
可以在大多数使用的CI/CD平台,SCM和ITSM解决方案的支持下,或直接在程序员IDE(Eclipse,Visual Studio)中完全集成在DevOps环境中。IDE插件是开源且免费的,与正在开发的程序员的数量无关。
使用内置设计1000+验证规则,在代码审核过程中突出显示违规行为,甚至建议改善系统结构的更改。它基于模块,边缘和节点创建了程序的抽象表示。
具有内部多线程,优化状态机的规则引擎是市场上最快的。它不需要任何内部或外部DBM即可运行,并且可以通过XML完全扩展。它重建预期的分层的独特功能,使其成为发现源代码中注入的漏洞的架构的宝贵工具。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
静态审阅者提供了一致的CWE 4.4规则,该规则旨在检测源代码中的漏洞。每个规则最多定义了12个变体,最多可应用50个API,并具有其自己的CWE™标识符和描述,并具有相关的MITER™网站链接,您可以在其中进行搜索:
您可以使用CWE™详细信息以Excel CSV格式导出规则列表:
您可以使用CWE™和CWE™SANS执行静态分析:
静态分析完成后,即使您选择了一个不同的规则集,检测到的每个漏洞始终都具有相关的Web链接:
在静态分析报告中,每个规则的违规行为显示了相关的可点击CWE™ID:
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
对于每个新的主要版本,我们都会安排对CWE内容的更新,以使其与当前的CWE要求保持同步。每个月都会发布产品的维护更新。同时,我们将继续增强对CWE要求的支持。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
CWE支持更新将反映在产品文档中的“发行说明”部分以及我们的网站上https://securityreviewer.atlassian.net/wiki/spaces/kc/pages/29524029/cwe。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
https://securityreviewer.atlassian.net/wiki/spaces/kc/pages/29524029/cwe
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
https://securityreviewer.atlassian.net/wiki/spaces/kc/pages/29524029/cwe#cwe%e2%84%A2-Results
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
https://securityreviewer.atlassian.net/wiki/spaces/kc/pages/29524029/cwe#cwe%e2%84%A2-Results
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
https://securityreviewer.atlassian.net/wiki/spaces/kc/pages/29524029/cwe
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
检测到的每个漏洞始终都有自己的CWE™ID,并具有与CWE网页相关的Web链接
您可以在Excel CSV中列出和导出在静态分析中发现的所有CWE:
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
在静态分析报告中,每个规则的违规行为显示了相关的可点击CWE™ID:
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
在“漏洞”面板中,可以通过“ CWE-ID”和“类别”对漏洞清单进行排序和过滤。
客户可以过滤漏洞在主面板中选择漏洞
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
每个漏洞都与直接链接到CWE网站的“类别”和“类别”和“ CWE-ID”相关联
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
漏洞可以以PDF或CSV格式导出。导出文件包括CWE-ID
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:Francesco Mariani
标题:首席产品官
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,据我所知,我们功能存储库与CWE标识符之间的映射没有错误,我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“
姓名:Francesco Mariani
标题:首席产品官
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,据我所知,通常在我们的能力报告特定的安全元素时,通常是正确的,通常是当发生与特定安全元素相关的事件时,我们的能力通常将其报告。“
姓名:Francesco Mariani
标题:首席产品官
|
普遍的弱点
播客
中等的
万博下载包新闻档案
