您的组织名称:
深圳Secidea网络安全技术有限公司 网站:
https://www.secidea.com
兼容功能:
SECIDEA SCAP2000 功能主页:
https://www.secidea.com/product/product/scap.html
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
打开我们的SCAP2000产品的网页https://www.secidea.com/product/product/scap.html如图1所示。 
图1 SCAP2000产品页面 如图2所示,单击“申请试验” 
图2申请试验 输入申请信息并提交,如图3所示。 
图3应用程序详细信息 批准该应用程序后,我们将将工具的登录地址,用户名和密码发送到应用程序期间提供的电子邮件。 用户可以使用提供的用户名和密码登录,并开始使用我们的产品,如图4所示。 
图4登录后的页面 用户可以单击“新项目”来创建一个新项目,该项目将通过我们的后端SAST工具进行测试。这如图5所示。 
图5创建新产品 工具完成测试后,单击项目名称以查看测试结果,该页面还显示了CWE信息以及详细的缺陷信息。这如图6所示。 
图6测试结果
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
我们指出了用于在工具相关文档中创建或更新工具的CWE映射的最新CWE内容。这些文档可以从我们的网站下载。登录后,用户可以通过以下步骤下载CWE文档,
单击图7所示的“帮助”按钮 
图7帮助按钮 下载相关文档,如图8所示。 
图8带有CWE文档的帮助页面
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(推荐的):
每当我们添加或修改工具检测到的缺陷时,我们都会查看与缺陷相关的CWE信息,以确保它反映最新的CWE内容。每次发布新版本时,我们还会查看CWE映射。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
我们的产品每年更新两次。我们的客户在每个版本中都会更新映射关系。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
我们为客户提供有关CWE的两个文件:
“ CWE_Documentation.pdf”,它通过引用CWE网站内容以及我们的工具如何使用CWE标识符来解释CWE的基础。 “ cwe_mapping_relations.pdf”,这是我们工具可以检测到的缺陷及其相应的CWE标识符的详细列表。
登录后,我们的网站可在我们的网站上找到我们的工具CWE文档。下载这些步骤是:
单击图7所示的“帮助”按钮 下载相关文档,如图8所示。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
这是在我们的“ CWE文档”第3节中提供的“通过CWE标识符搜索”。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
这是我们的“ CWE文档”第4节中提供的,“查看漏洞的CWE标识符”。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(推荐的):
我们提供的文档与CWE特别相关。这些文件在我们的网站上提供。如何从我们网站中找到这些文档的详细信息
请参阅答案<Cr.5.1>。 。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
用户可以通过以下步骤以下步骤查找其关联的CWE标识符,从而在工具中找到任务。
用户在项目列表页面上单击“新项目”以创建一个新项目,并自动分析代码中的安全缺陷。在创建项目页面上,输入项目名称并导入项目源代码,如图9所示。 
图9创建新测试项目 b)单击确定以设置检测规则和编译器,如图10所示。单击规则集后面的“问号”按钮以设置缺陷规则。如图11所示,可以在每个缺陷之后查看相应的CWE号。 
图10检测结果 检测后,可以根据CWE类型对检测结果的问题列表区域进行分组和显示,如图12所示。 
图11查看CWE标识符的结果
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
对于软件项目,我们的工具会产生软件中潜在漏洞的列表。在结果页面中,用户可以单击每个报告的漏洞以查看详细的漏洞页面。在详细的漏洞页面中,我们提供CWE标识符,如图12所示。
图12漏洞细节页面
用户还可以单击“漏洞”页面上的CWE标识符,该页面链接到CWE网站,该网站提供了有关CWE标识符的更多详细信息。这如图13所示。
图13链接到CWE网站
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
通过我们的工具的CWE文档(cwe_mapping_relations.pdf)提供了我们工具有效的CWE标识符列表。可以从“帮助”页面下载文档,如图8所示。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(推荐的):
请查看问题11 <的答案CR_A.2.2>。
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(推荐的):
请查看问题10 <的答案CR_A.2.1>
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(推荐的):
如果用户在任务结果中搜索特定的CWE ID,则意味着无法执行具有搜索CWE标识符的任务。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
我们以PDF格式提供电子文档。用户可以在PDF阅读器(例如Adobe Acrobat Reader)中搜索任何与CWE相关的特定文本。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
我们的电子文档在表中具有CWE标识符,因此用户可以轻松搜索特定的CWE标识符。
电子文档元素到CWE标识符映射
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(推荐的):
请参见图12和图14。在图14中,我们显示了由CWE标识符分组的所有漏洞结果。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
我们的工具的结果可以通过CWE ID分组。然后,用户可以在结果页面中搜索特定的CWE ID并获取相关元素,如图所示
图14 CWE ID搜索
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
如图12所示,在详细的漏洞页面中,我们的工具显示了该漏洞的关联的CWE标识符。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:Dawei Qi
标题:首席技术官
准确性
拥有授权的个人标志和日期,以下准确性声明(推荐的):
“作为我组织的授权代表,据我所知,我们功能存储库与CWE标识符之间的映射没有错误,我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“
名称:Dawei Qi
标题:首席技术官
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,据我所知,通常在我们的能力报告特定的安全元素时,通常是正确的,通常是当发生与特定安全元素相关的事件时,我们的能力通常将其报告。“
名称:Dawei Qi
标题:首席技术官
|
普遍的弱点
播客
中等的
万博下载包新闻档案
