CWE词汇表定义

Name of Your Organization:

Beijing RedRocket Technology Co., Ltd

网站：

http://www.redrocket.cn/

兼容功能：

REDROCKETS SCA

功能主页：

http://www.redrocket.cn/home/product_introduction/index.html?id=13

产品可访问性

Provide a short description of how and where your capability is made available to your customers and the public(required):

Users can visit the company's website to apply for trial or contact us to buy products.Company address:http://www.redrocket.cn/。

很抱歉，我们还没有将我们的网站从中文翻译成英文，我们保证很快就会完成这项工作。因此，让我指示您使用我们的产品进行云检测如下：

1. Open the official websitehttp://www.redrocket.cn/, as shown in figure 1.

   

   图1主页

2. 2.选择SCA产品，然后单击“申请使用”，如图1所示。

   

   Figure-2 Tool application trial

3. Enter the application information and click the submit button to submit the application, as shown in figure 3.

   

   Figure-3 Submit application information

4. 收到应用程序后，我们将向您的电子邮件发送登录地址，用户名，密码和用户手册。

5. 用户可以使用收到的登录信息登录到SCA系统，如图4所示。

   

   图4系统登录主页

6. Click "new project" to create a new project, as shown in Figure 5.

   

   Figure-5 Create test task interface

7. After the detection, click the project name to enter the detection result query page, and click the "view vulnerability" button after the component name to query the CWE related information, as shown in Figure 6 and figure 7.

   

   Figure-6 Test results page

   

   Figure-7 Vulnerability view page

8. 单击CWE号码以打开CWE官方网站地址，如图8所示。

   

   图-8 CWE页面

地图货币指示

描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(required):

用户可以通过产品主页查看CWE（单击右上角的帮助按钮，如图9和10所示

图9帮助按钮

Figure-10 the CWE Documentation and CWE Mapping Relations on the page

我们每年两次发布产品。我们将在每个新版本中的“ CWE映射关系”中添加最新的CWE内容。用户可以查看它。

地图货币更新方法

表示您计划更新映射以反映当前的CWE内容的频率，并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(recommended):

We download the component's CWE vulnerability in real time every day and update it to the local database. We release our products twice a year, and each release will update the CWE content.

地图货币更新时间

Describe how and where you explain to your customers the timeframe they should expect an update of your capability’s mappings to reflect newly available CWE content(required):

我们每年两次发布产品。The user can get updated mapping relations in each release.

CWE AND COMPATIBILITY DOCUMENTATION

提供您的文档描述CWE和CWE兼容性的副本或指示的位置(required):

Our CWE Documentation describes CWE and CWE compatibility at the beginning of the article as part (I) and part (II), by quoting the description of CWE and CWE compatibility on the CWE official website. Users can view CWE through the product homepage, and click the help button in the upper right corner to view CWE mapping relations file, as shown in Figure 4 and figure 5.

使用CWE标识符查找元素的文档

提供您的文档的副本或指示到其位置，描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息（必需的）：

Our CWE Documentation describes this at the part (IV) of the article, which is named "About CWE Searchable".

DOCUMENTATION OF FINDING CWE IDENTIFIERS USING ELEMENTS

Provide a copy, or directions to its location, of where your documentation describes the process a user would follow to find the CWE identifiers associated with individual security elements within your capability’s repository(required):

Our CWE Documentation describes this at the part (III) of the article, which is named "About CWE Output".

与CWE相关材料的文档索引

如果您的文档包括索引，请提供您在索引中“ CWE”下列出的项目和资源的副本。或者，提供指示这些“ CWE”项目在您的网站上发布的位置(recommended):

该引用是在我们的CWE文档的末尾，如下所示。

参考

[1] http://cwe.mitre.org

[2] http://cwe.mitre.org/compatible

用户可以通过产品主页查看CWE（单击右上角的帮助按钮。）

特定于类型的功能问题

FINDING TASKS USING CWE IDENTIFIERS

Give detailed examples and explanations of how a user can locate tasks in the tool by looking for their associated CWE identifier(required):

用户可以导入项目并进行分析。单击文件>创建项目以导入项目，如图11所示。在检测后，在“漏洞列表”页面上，在“漏洞类型”文本框中输入“ CWE-310”，然后单击“检索”。如图12所示，结果将相应地显示。然后，您可以查看相应的漏洞。单击漏洞名称以查看相应的项目信息，如图13和14所示。

图11导入项目

图-12在项目上下文中搜索

图13漏洞列表

图14影响项目

使用报告中的元素查找CWE标识符

给出详细的示例和解释，以说明如何确定单个安全元素的报告，该工具允许用户确定报告中各个安全元素的关联的CWE标识符(required):

系统检测完成后，在当前项目列表的“所有漏洞”列中可见项目漏洞的总数，如下图所示。

图15项目测试结果

单击与项目详细信息页面的项目名称相对应的超链接，以显示项目使用的开源组件以及每个组件中包含的漏洞数，如下图所示。

Figure-16 All components used in the project and their number of vulnerabilities

单击“所有漏洞”列中的数字超链接，以查看当前组件中漏洞的详细信息。组件漏洞列表中的“漏洞类型”显示了当前漏洞和CWE漏洞之间的对应关系。如果它可以与CWE漏洞完全匹配，请在当前列表中显示CWE漏洞编号，如下图所示。

图17特定组件中的漏洞列表

Click on the CWE number hyperlink in the figure above, and the page jumps to the description page of the CWE official website describing the current vulnerability, as shown in the following figure below：

Figure-18 CWE official website Vulnerability description page

获取声称的CWE标识符覆盖范围

给出详细的示例和解释，说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(required):

用户可以通过产品主页查看CWE，然后单击右上角的“帮助”按钮以查看CWE映射关系文件，如图9和图10所示。

产品地址：http://www.redrocket.cn/home/product_introduction/index.html?id=13。

获取与任务相关的CWE标识符列表

给出详细的示例和解释，说明用户如何获得与工具任务相关联的所有CWE标识符的列表(recommended):

请查看答案问题11。

使用CWE标识符列表选择任务

Describe the steps and format that a user would use to select a set of tasks by providing a file with a list of CWE identifiers(recommended):

请查看答案问题10。

使用单个CWE标识符选择任务

Describe the steps that a user would follow to browse, select, and deselect a set of tasks for the tool by using individual CWE identifiers(recommended):

请查看答案问题10。

请求的CWE标识符的非支持通知

提供有关该工具如何通知用户的说明，无法执行与所选CWE标识符关联的任务(recommended):

当您搜索CWE ID但没有结果时，该工具会通知用户与所选CWE标识符关联的任务无法执行。

电子文档格式信息

Provide details about the different electronic document formats that you provide and describe how they can be searched for specific CWE-related text(required):

我们的电子文档格式是PDF或Word。因此，用户可以通过关键字搜索轻松搜索与CWE相关的特定文本。例如，我们通过Adobe Reader打开CWE映射关系文档，并按下“ CTRL + F”来搜索“ CWE”，如图19所示。

图-19在PDF文档中搜索特定的CWE相关文本

ELECTRONIC DOCUMENT LISTING OF CWE IDENTIFIERS

如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档，以说明如何为每个单独的安全元素列出相关的CWE标识符(required):

我们以表格的形式列出了映射关系，并且文档格式为PDF。用户可以通过搜索组件序列号或组件关键字来轻松找到相关的CWE ID。

通过GUI 使用CWE标识符查找元素

给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能，以通过寻找其关联的CWE标识符来识别您的功能元素(required):

请查看答案问题10。

GUI元素到CWE标识符映射

简要描述如何为单个安全元素列出相关的CWE标识符，或讨论用户如何使用CWE标识符和功能元素之间的映射，还描述了映射的格式(required):

请查看答案问题11。

我们的CWE映射关系文件的格式是PDF中的一个表。

GUI导出电子文档格式信息

Provide details about the different electronic document formats that you provide for exporting or accessing CWE-related data and describe how they can be searched for specific CWE-related text(recommended):

文档可以在XLS或PDF中导出，用户可以通过搜索关键字来使用自己的搜索功能。XLS中的文档将具有名为“ CWE”的列，其内容为关联的CWE ID。

兼容性

拥有授权的个人标志和日期以下兼容性声明(required):

“作为我组织的授权代表，我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

姓名：小刘

Title: Product Manager

STATEMENT OF ACCURACY

拥有授权的个人标志和日期，以下准确性声明(recommended):

“作为我组织的授权代表，据我所知，我们功能存储库与CWE标识符之间的映射没有错误，我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“

姓名：小刘

Title: Product Manager

关于falsepitions和false-sengatives 和/或的声明

FOR TOOLS AND SERVICES ONLY — Have an authorized individual sign and date the following statement about your tools efficiency in identification of security elements(required):

“As an authorized representative of my organization and to the best of my knowledge, normally when our capability reports a specific security element, it is generally correct and normally when an event occurs that is related to a specific security element our capability generally reports it."

姓名：小刘

Title: Product Manager