Name of Your Organization:
Beijing RedRocket Technology Co., Ltd 网站:
http://www.redrocket.cn/
兼容功能:
RedRocket SAST 功能主页:
http://www.redrocket.cn/home/product_introduction/index.html?id=2
General Capability Questions 产品可访问性
Provide a short description of how and where your capability is made available to your customers and the public(required):
Open the official websitehttp://www.redrocket.cn/, as shown in figure 1. 
图1主页 单击图2中的红色圆圈“申请使用”。 
Figure-2 Tool application trial 输入应用程序信息,然后单击“提交”按钮提交申请,如图3所示。 
Figure-3 Submit application information 收到应用程序后,我们将向您的电子邮件发送登录地址,用户名,密码和用户手册。 The user can log in to the SAST system with the login information received, as shown in Figure 4. 
图4系统登录主页 Click "new project" to create a new project, as shown in Figure 5. 
Figure-5 Create test task interface 测试完成后,单击项目名称以输入测试结果查询页面,并且可以在缺陷信息区域中查看CWE信息,如图6所示。 
Figure-6 Test result query interface
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(required):
Users can view CWE through the product homepage (click the help button in the upper right corner, as shown in Figure 7 and 8).
Figure 7 the help button
图8页面上的CWE文档和CWE映射关系
我们每年至少发布两次产品,我们将为每个新版本的“ CWE映射关系”添加最新的CWE内容,以供用户查看。
Map Currency Update Approach
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(recommended):
If the defect item we add or modify has a corresponding CWE number, we will add the CWE number to the configuration information of the defect item, so that users can view the corresponding CWE information when viewing the defect.
地图货币更新时间
Describe how and where you explain to your customers the timeframe they should expect an update of your capability’s mappings to reflect newly available CWE content(required):
We release our product twice every year. The user can get updated mapping relations in each release.
文档问题 CWE AND COMPATIBILITY DOCUMENTATION
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(required):
我们的CWE文档通过在CWE官方网站上引用CWE和CWE兼容性的描述,将文章开头的CWE和CWE兼容性描述为第(i)部分和第(ii)部分。用户可以通过产品主页查看CWE,然后单击右上角的“帮助”按钮以查看CWE映射关系文件,如图7和图8所示。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
Our CWE Documentation describes this at the part (IV) of the article, which is named "About CWE Searchable".
DOCUMENTATION OF FINDING CWE IDENTIFIERS USING ELEMENTS
Provide a copy, or directions to its location, of where your documentation describes the process a user would follow to find the CWE identifiers associated with individual security elements within your capability’s repository(required):
Our CWE Documentation describes this at the part (III) of the article, which is named "About CWE Output".
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(recommended):
该引用是在我们的CWE文档的末尾,如下所示。
参考
[1] http://cwe.mitre.org
[2] http://cwe.mitre.org/compatible
用户可以通过产品主页查看CWE(单击右上角的帮助按钮。)
特定于类型的功能问题
Tool Questions FINDING TASKS USING CWE IDENTIFIERS
Give detailed examples and explanations of how a user can locate tasks in the tool by looking for their associated CWE identifier(required):
用户在项目列表页面上单击“新项目”以创建一个新项目,并自动分析代码中的安全缺陷。在创建项目页面上,输入项目名称并导入项目源代码,如图9所示。 
图9创建项目(1) 单击下一步设置检测规则和编译器,如图10所示。单击规则集后面的“问号”按钮以设置缺陷规则。如图11所示,可以在每个缺陷之后查看相应的CWE号。 
图-10创建项目(2) 
图-11检测规则设置 检测后,可以根据CWE类型对检测结果的问题列表区域进行分组和显示,如图12所示。 
图-12问题列表由CWE类型分组 同时,在搜索框中输入CWE号,以找到与指定的CWE号相对应的缺陷,如图13和图14所示。 
图13查询CWE号码中的列表 
图14 CWE查询结果显示在问题列表中
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(required):
在“检测规则配置”页面中,在搜索框中输入CWE编号,以找到与指定CWE号相对应的缺陷,如图15所示。 
图15配置页面CWE查询 The CWE number and the corresponding defect rule details can be displayed in the query results, as shown in Figure 16. 
Figure-16 Configuration page CWE query results 检测后,用户可以单击项目名称以查看检测到的缺陷,并在“问题列表”选项卡下显示特定缺陷。单击问题以在缺陷信息区域显示相应的CWE号,如图17所示。 
图17测试结果列表 单击CWE号码以跳入CWE官方网站链接,如图18所示。 
Figure-18 CWE official website Vulnerability description page
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(required):
用户可以通过产品主页查看CWE,然后单击右上角的“帮助”按钮以查看CWE映射关系文件,如图7和图8所示。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(recommended):
请查看答案问题11。
使用CWE标识符列表选择任务
Describe the steps and format that a user would use to select a set of tasks by providing a file with a list of CWE identifiers(recommended):
请查看答案问题10。
使用单个CWE标识符选择任务
Describe the steps that a user would follow to browse, select, and deselect a set of tasks for the tool by using individual CWE identifiers(recommended):
请查看答案问题10。
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(recommended):
当您搜索CWE ID但没有结果时,该工具会通知用户与所选CWE标识符关联的任务无法执行。
Media Questions 电子文档格式信息
Provide details about the different electronic document formats that you provide and describe how they can be searched for specific CWE-related text(required):
我们的电子文档格式是PDF或Word。因此,用户可以通过关键字搜索轻松搜索与CWE相关的特定文本。例如,我们打开CWE映射关系文档,然后按“ CTRL + F”来搜索“ CWE”,如图19所示。
图-19在PDF文档中搜索特定的CWE相关文本
ELECTRONIC DOCUMENT LISTING OF CWE IDENTIFIERS
If one of the capability’s standard electronic documents only lists security elements by their short names or titles provide example documents that demonstrate how the associated CWE identifiers are listed for each individual security element(required):
我们以表格的形式列出了映射关系,并且文档格式为PDF。用户可以通过搜索组件序列号或组件关键字来轻松找到相关的CWE ID。
Graphical User Interface (GUI) Questions 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(required):
请查看答案问题10。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(required):
请查看答案问题11。
我们的CWE映射关系文件的格式是PDF中的一个表。
GUI导出电子文档格式信息
Provide details about the different electronic document formats that you provide for exporting or accessing CWE-related data and describe how they can be searched for specific CWE-related text(recommended):
文档可以在XLS或PDF中导出,用户可以通过搜索关键字来使用自己的搜索功能。XLS中的文档将具有名为“ CWE”的列,其内容为关联的CWE ID。
Questions for Signature 兼容性
拥有授权的个人标志和日期以下兼容性声明(required):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
姓名:小刘
Title: Product Manager
STATEMENT OF ACCURACY
拥有授权的个人标志和日期,以下准确性声明(recommended):
"As an authorized representative of my organization and to the best of my knowledge, there are no errors in the mapping between our capability's Repository and the CWE identifiers our capability reports, and those CWE identifiers are as specific as possible within the available CWE repository."
姓名:小刘
Title: Product Manager
关于falsepitions和false-sengatives 和/或的声明
FOR TOOLS AND SERVICES ONLY — Have an authorized individual sign and date the following statement about your tools efficiency in identification of security elements(required):
"As an authorized representative of my organization and to the best of my knowledge, normally when our capability reports a specific security element, it is generally correct and normally when an event occurs that is related to a specific security element our capability generally reports it."
姓名:小刘
Title: Product Manager
|
