CWE词汇表定义

您的组织名称：

seczone

网站：

https://www.seczone.cn/

兼容功能：

Codesec

功能主页：

https://www.seczone.cn/channels/sdl-sast.html

产品可访问性

简要说明如何以及在何处将您的能力提供给客户和公众（必需的）：

1. 打开Seczone的官方网站https://www.seczone.cn/，如图1所示。

   

   图1系统首页

2. 单击“申请试用”按钮，如图2所示。

   

   图2工具试验门户

3. 输入应用程序信息，单击“提交”按钮提交申请，如图3所示。

   

   图-3提交申请信息

4. 收到应用程序后，我们将将系统登录地址，用户名，密码和用户手册发送到您的电子邮件地址。

5. 收到电子邮件后，用户可以使用收到的登录信息登录到SAST系统，如图4所示。

   

   图4系统登录主页

6. 单击[项目管理]模块创建一个新项目，如图5所示。

   

   图-5创建测试项目接口

7. 测试完成后，单击项目列表“视图”按钮以输入漏洞信息查询页面，并且可以在缺陷信息区域中查看CWE信息，如图6所示。

   

   图6项目扫描结果查询界面

地图货币指示

描述您的功能指示最新的CWE内容用于创建或更新其映射的方法（必需的）：

1. 用户可以通过产品主页查看CWE信息（工具漏洞信息的来源之一是CWE），如图7所示。

   

   图7系统版本信息

2. 如图8所示，单击漏洞图标跳到CWE官方网站。

   

   图-8 CWE官方网站

我们每季度发布一次我们的产品，并将最新的CWE内容添加到每个新版本的“ CWE映射关系”中，以供用户查看。

地图货币更新方法

表示您计划更新映射以反映当前的CWE内容的频率，并描述您在将其映射到存储库时与CWE内容保持合理最新的方法（受到推崇的）：

如果我们添加或修改的缺陷项目具有相应的CWE号，则将CWE编号添加到缺陷项目的配置信息中，以便在查看缺陷时可以查看相应的CWE信息。

地图货币更新时间

描述您向客户解释的时间和地点，他们应该期望您能力映射的更新反映新近可用的CWE内容（必需的）：

我们将季度发布我们的产品，用户可以访问每个版本中的更新映射关系。

CWE和兼容性文档

提供您的文档描述CWE和CWE兼容性的副本或指示的位置（必需的）：

我们的CWE文档通过引用官方CWE网站上的CWE和CWE兼容性的描述来描述本文开头的CWE和CWE兼容性。用户可以通过产品主页查看CWE，然后单击“查看版本”信息以查看CWE映射信息。同时，用户可以在工具接口中查看缺陷类型和CWE映射关系，如图9和图10所示：

图9数据源包含CWE

图-10漏洞类型与CWE之间的映射关系

使用CWE标识符查找元素的文档

提供您的文档的副本或指示到其位置，描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息（必需的）：

您可以编辑与每个CWE标识符相对应的漏洞类型，并且可以在单击“编辑”后修改特定的信件。我们将将相关信息存储到数据库中的每个CWE标识符，如图11所示：

图11编辑漏洞类型映射CWE标识符

使用元素查找CWE标识符的文档

提供您的文档描述用户将遵循的过程的副本或指示，以查找与您功能存储库中个人安全元素相关的CWE标识符（必需的）：

1. 用户可以通过产品主页查看CWE信息（工具漏洞信息的来源之一是CWE），如图12所示。

   

   图-12系统版本信息

2. 如图13所示，单击漏洞图标跳到CWE官方网站。

   

   图13 CWE官方网站

与CWE相关材料的文档索引

如果您的文档包括索引，请提供您在索引中“ CWE”下列出的项目和资源的副本。或者，提供指示这些“ CWE”项目在您的网站上发布的位置（受到推崇的）：

该引用是在我们的CWE文档的末尾，如下所示。

参考

[1] http://cwe.mitre.org

[2] http://cwe.mitre.org/compatible

用户可以通过产品主页查看CWE（单击右上角的帮助按钮。）

特定于类型的功能问题

使用CWE标识符查找任务

给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务（必需的）：

1. 用户在项目列表页面上单击“新项目”以创建一个新项目，并自动分析代码中的安全缺陷。在创建项目页面上，输入项目名称并导入项目源代码，如图14所示。

   

   图14创建项目（1）

2. 单击“下一步”选择任务类型，如图15所示。

   

   图15创建项目（2）

3. 单击“下一步”以配置任务参数，创建并执行扫描任务，如图16所示。

   

   图16创建项目（3）

4. 检测完成后，您可以查看结果，如图17所示。

   

   图17 CWE标识符中的项目详细信息

5. 在扫描结果中，您可以单击CWE标识符以查看官方网站链接以进一步查看CWE的详细信息，如图18所示：

   

   图-18 CWE标识符详细信息

使用报告中的元素查找CWE标识符

给出详细的示例和解释，以说明如何确定单个安全元素的报告，该工具允许用户确定报告中各个安全元素的关联的CWE标识符（必需的）：

1. 在“检测规则配置”页面中，输入CWE编号以找到相应的漏洞，如图19：

   

   图-19配置页面CWE查询

2. 用户可以输入漏洞类型页面的详细信息，以修改和编辑与每个漏洞类型相对应的CWE标识符，如图20：

   

   图20 CWE标识符编辑

获取声称的CWE标识符覆盖范围

给出详细的示例和解释，说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表（必需的）：

1. 通过项目列表检查扫描结果，如图21所示：

   

   图21 CWE标识符中的项目详细信息

2. 在扫描结果页面中，单击CWE标识符，该页面将跳到与CWE标识符相对应的官方网站链接，如图22所示。

   

   图22 CWE标识符详细信息

电子文档格式信息

提供有关您提供的不同电子文档格式的详细信息，并描述如何搜索它们与CWE相关的特定文本（必需的）：

我们的电子文档格式是Excel。因此，用户可以通过关键字搜索轻松搜索与CWE相关的特定文本。例如，我们打开一个文档，按“ CTRL + F”搜索CWE 211，如图23所示：

图23在Excel文档中搜索与CWE相关的特定文本

CWE标识符的电子文档列表

如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档，以说明如何为每个单独的安全元素列出相关的CWE标识符（必需的）：

我们以表格的形式列出了映射关系，并且文档格式是Excel。用户可以通过搜索组件序列号或组件关键字来轻松找到相关的CWE ID。

通过GUI 使用CWE标识符查找元素

给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能，以通过寻找其关联的CWE标识符来识别您的功能元素（必需的）：

我们将根据CWE标识符在项目扫描结果中添加漏洞的显示，该标识符目前根据OWASP TOP 10 2021等支持显示，如图24：

图24漏洞显示页面

GUI元素到CWE标识符映射

简要描述如何为单个安全元素列出相关的CWE标识符，或讨论用户如何使用CWE标识符和功能元素之间的映射，还描述了映射的格式（必需的）：

1. 在“检测规则配置”页面中，输入CWE编号以查找与指定CWE号相对应的漏洞，如图25所示：

   

   图25配置页CWE标识符查询

2. 查询结果可以显示CWE编号和相应的漏洞规则详细信息，如图26所示：

   

   图26配置页面CWE查询结果

GUI导出电子文档格式信息

提供有关您提供的不同电子文档格式的详细信息（受到推崇的）：

文档可以在XLS中导出，用户可以通过搜索关键字来使用自己的搜索功能。XLS中的文档将具有名为“ CWE”的列，其内容为关联的CWE ID。

兼容性

拥有授权的个人标志和日期以下兼容性声明（必需的）：

“作为我组织的授权代表，我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

姓名：Chao Gao

标题：产品经理

准确性

拥有授权的个人标志和日期，以下准确性声明（受到推崇的）：

“作为我组织的授权代表，据我所知，我们功能存储库与CWE标识符之间的映射没有错误，我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“

姓名：Chao Gao

标题：产品经理

关于falsepitions和false-sengatives 和/或的声明

仅对于工具和服务 - 拥有授权的个人标志和日期，以下有关您的工具效率的说明，以识别安全元素（必需的）：

“作为我组织的授权代表，据我所知，通常在我们的能力报告特定的安全元素时，通常是正确的，通常是当发生与特定安全元素相关的事件时，我们的能力通常将其报告。“

姓名：Chao Gao

标题：产品经理