您的组织名称:
Codeforce(北京)软件技术有限公司 网站:
http://www.codeforce.com.cn
兼容功能:
ZBG-SAST 功能主页:
http://www.codeforce.com.cn/#/product/zbg_sast
一般能力问题 产品可访问性
简要说明如何以及在何处将您的能力提供给客户和公众(必需的):
用户可以访问www.codeforce.com.cn申请ZBG-Sast的试用帐户,或发送电子邮件至support@codeforce.com.cn直接申请试用帐户(要适用的产品名称需要指示试验)。通常,我们将在两个工作日内通过电子邮件通过电子邮件分配给申请人的产品访问地址和试用帐户信息。
步骤1:访问“ www.codeforce.com.cn”,然后单击页面上的“合作伙伴”按钮以打开产品试用页面并填写页面底部的试用申请信息。
步骤2:输入您的组织或公司名称。
步骤3:输入您的地址。
步骤4:输入您工作的行业。
步骤5:输入您的名字。
步骤6:输入您的通信号码。
步骤7:输入您的电子邮件地址,该地址用于接收申请人分配的产品访问地址和试用帐户的电子邮件答复。
步骤8:选择要使用的产品,请在此处选择“ ZBG-SAST”。
步骤9:输入验证代码。
步骤10:单击“提交申请”按钮,我们的邮箱将收到您的试用申请信息。
映射问题 地图货币指示
描述您的功能指示最新的CWE内容用于创建或更新其映射的方法(必需的):
用户可以单击导航栏中的“知识管理平台” - >“知识管理”,以查看详细的CWE映射信息,包括与详细漏洞相对应的CWE版本,内部缺陷名称及其相关CWE标识符之间的关系以及指向官方CWE说明页面的链接。
步骤1:登录到ZBG-SAST,单击并展开“知识管理”选项卡。
步骤2:单击“知识管理”选项卡以打开我们产品支持的漏洞列表页面。
步骤3:在搜索栏中输入关键字“ CWE”,以过滤产品中与CWE标识符保持映射关系的所有漏洞的列表。
步骤4:单击任何漏洞名称,例如“命令注入”以加载漏洞的描述。维持与漏洞的映射关系的CWE标识符将显示在参考区域的列表中。
步骤5:此页面上的所有CWE标识符都可以链接到官方CWE说明页面。
例如,单击“ CWE ID 78”,该页面将跳到https://cwe.mitre.org/data/definitions/78.html。
地图货币更新方法
表示您计划更新映射以反映当前的CWE内容的频率,并描述您在将其映射到存储库时与CWE内容保持合理最新的方法(受到推崇的):
每次更新产品时,我们都会更新漏洞数据库和CWE识别信息,该信息由漏洞映射。我们将尽一切努力来保留每个版本中最新的CWE内容,我们将包括相关漏洞中的CWE-ID。ZBG-Sast的主要版本每六个月发布一次。
地图货币更新时间
描述您向客户解释的时间和地点,他们应该期望您能力映射的更新反映新近可用的CWE内容(必需的):
发布产品的主要版本后,我们的工具和文档将每六个月更新一次,并且用户将能够在每个版本中获得最新的映射关系。
文档问题 CWE和兼容性文档
提供您的文档描述CWE和CWE兼容性的副本或指示的位置(必需的):
用户登录产品后,单击“用户名” - >“ help” - >“下载CWE兼容手册”以获取CWE兼容性文档,该文档详细描述了该产品如何满足CWE兼容性要求。
步骤1:登录到ZBG-Sast,然后单击右上角的用户名以打开产品的附加功能栏。
步骤2:单击“帮助”按钮以打开产品帮助页面。
步骤3:在产品帮助页面上单击“下载CWE兼容手册”以获取CWE兼容性手册。
使用CWE标识符查找元素的文档
提供您的文档的副本或指示到其位置,描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息(必需的):
登录产品后,用户可以在源代码的静态测试结果集中查看检测到的漏洞和CWE之间的映射关系,这与我们产品支持的漏洞列表中CWE标识符的搜索功能(知识库)一致。。测试结果集的审核页面还支持使用CWE关键字搜索来查询相关的漏洞。
(1)用户成功登录后,单击“项目检测” - >“任务管理”以打开源代码项目测试任务列表页面,然后单击“审核视图”按钮完成的测试任务以打开审核页面测试结果集。
步骤1:登录到ZBG-SAST,单击并展开“项目检测”选项卡。
步骤2:单击“任务管理”选项卡以打开源代码项目测试任务列表页面。
步骤3:找到成功完成的测试任务,然后单击“审核视图”按钮以打开测试结果集审核页面。
(2)单击“测试结果”设置的审核页面上的常见分类漏洞,以查看右侧参考信息栏中的CWE映射信息。
步骤1:在测试结果集审核页面上,单击常见漏洞,例如“命令注入”类别。
步骤2:单击右侧的“参考”信息栏以打开参考信息页面。
步骤3:与漏洞具有映射关系的CWE标识信息显示在漏洞参考信息页面上。
(3)CWE关键字的漏洞集搜索功能在测试结果集的审核页面上也可用;用户可以单击搜索按钮以打开关键字搜索页面。在此页面上,为条件类别选择“行业标准”,然后在“操作值”列中输入所需的查询。CWE标识一个关键字,然后单击“查询”按钮以立即查询关联的漏洞集。CWE标识关键字包括但不限于CWE100,CWE 100,CWE-100,CWE ID 100等格式。
步骤1:在测试结果集审核页面上,单击搜索按钮以打开“漏洞查询”页面。
步骤2:条件类别选项,选择“行业标准(具有CWE支持的ID搜索)”选项卡。
步骤3:在操作值中,输入要查询的CWE标识关键字,例如“ CWE-77”。
步骤4:单击“查询”按钮,测试结果集审核页将刷新,仅显示与CWE标识关键字关联的漏洞。
使用元素查找CWE标识符的文档
提供您的文档描述用户将遵循的过程的副本或指示,以查找与您功能存储库中个人安全元素相关的CWE标识符(必需的):
在测试结果集的审核页面上,单击“公共分类漏洞”,您可以查看右侧参考信息栏中漏洞的CWE映射参考信息。在漏洞的说明与官方信息之间存在映射关系链接到下面列出的CWE标识符。
步骤1:在测试结果集审核页面上,单击“常见漏洞”,例如“命令注入”类别。
步骤2:单击右侧的“参考”信息栏以打开参考信息页面。
步骤3:单击参考材料中的相应CWE ID,以打开CWE标识符的官方说明页面。
步骤4:参考下的漏洞中有一个中文描述,它也引用并翻译了CWE的官方描述。
与CWE相关材料的文档索引
如果您的文档包括索引,请提供您在索引中“ CWE”下列出的项目和资源的副本。或者,提供指示这些“ CWE”项目在您的网站上发布的位置(受到推崇的):
参考<CR_5.1>,用户可以下载CWE兼容性手册。用户可以在本手册结束时在附录中的漏洞集和产品的CWE标识符之间获取映射列表。
特定于类型的功能问题
工具问题 使用CWE标识符查找任务
给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务(必需的):
用户可以在导航栏中单击“知识管理平台” - >“知识管理”,以查看详细的CWE映射信息,包括与详细漏洞相对应的CWE版本,缺陷名称及其相关CWE标识符之间的关系以及链接到官方CWE说明页面。请参阅<的操作步骤CR_6.1>。
登录产品后,用户可以在源代码的静态测试结果集中查看检测到的漏洞和CWE之间的映射关系,这与我们产品支持的漏洞列表中CWE标识符的搜索功能一致(知识库(知识库))。测试结果集的审核页面还支持使用CWE关键字搜索来查询关联的漏洞。引用<的操作步骤CR_5.2>。
使用报告中的元素查找CWE标识符
给出详细的示例和解释,以说明如何确定单个安全元素的报告,该工具允许用户确定报告中各个安全元素的关联的CWE标识符(必需的):
源代码项目的漏洞安全测试完成后,单击“测试结果审核”页面上的公共分类漏洞,以查看右侧的参考信息栏中有关漏洞的CWE映射参考信息。将相应的CWE ID键入相应的CWE ID到打开CWE标识符的官方描述页面。用户还可以在参考材料底部找到中文漏洞的描述信息,是有关漏洞的中文描述信息。这些信息从官方说明转换为cwe。参考到<CR_5.3>。
获取声称的CWE标识符覆盖范围
给出详细的示例和解释,说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表(必需的):
用户可以在导航栏中单击“知识管理平台” - >“知识管理”,以查看详细的CWE映射信息,并通过检索“共同的弱点”或“ CWE”来搜索产品中使用映射关系的所有漏洞。关键字搜索功能。
使用CCR提供索取的CWE标识符覆盖范围
对用户如何使用所有CWE标识符找到覆盖范围索赔表示(CCR)XML文档的详细说明(受到推崇的):):
目前,我们不提供CCR XML文档。
获取与任务相关的CWE标识符列表
给出详细的示例和解释,说明用户如何获得与工具任务相关联的所有CWE标识符的列表(受到推崇的):
与漏洞相关的CWE标签信息将可供用户以测试结果集的审计页面上的参考材料的形式查看。
使用CWE标识符列表选择任务
描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式(受到推崇的):
请参考<CR_A.2.1>。
使用单个CWE标识符选择任务
描述用户将通过使用单个CWE标识符浏览,选择和取消选择该工具的一组任务的步骤(受到推崇的):
请参考<CR_A.2.1>。
请求的CWE标识符的非支持通知
提供有关该工具如何通知用户的说明,无法执行与所选CWE标识符关联的任务(受到推崇的):
当用户搜索CWE标识符但没有结果时,该页面将提示“尚未数据”。
媒体问题 电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息,并描述如何搜索它们与CWE相关的特定文本(必需的):
用户登录到产品后,单击“项目检测” - >“任务管理”以打开源代码项目测试列表页面,选择完成的测试任务,然后单击“报告”按钮以打开报告配置页面。The user needs to specify the report name and the name of the organization,the length and output format of the report can be specified in the following configuration.And in the detailed reports in various supported formats (the length of the complete vulnerability description), users can easily find the required data through the CWE identification keywords, and the HTML report will be used here to demonstrate the description.
导出测试报告的步骤:
步骤1:登录到ZBG-SAST,单击并展开“项目检测”选项卡。
步骤2:单击“任务管理”选项卡以打开源代码项目测试任务列表页面。
步骤3:在复选框中选择完整的源代码安全漏洞测试任务。
步骤4:单击“导出”按钮以打开报告配置页面。
步骤5:用户需要输入当前报告名称。
步骤6:用户需要输入用户的组织或公司名称。
步骤7:选择报告格式,以促进演示后续步骤,请在此处选择“ HTML”。
步骤8:选择报告类型,详细报告包含每个漏洞的详细参考信息,包括CWE标识。
步骤9:配置完成后,单击“导出按钮”,浏览器将稍后在新标签中显示报告内容。
搜索CWE标识符的报告:
步骤1:用户通常可以使用快捷方式“ CTRL + F”打开浏览器搜索窗口,输入CWE标识关键字,例如“ CWE ID 78”,浏览器将自动帮助用户找到内容。
CWE标识符的电子文档列表
如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档,以说明如何为每个单独的安全元素列出相关的CWE标识符(必需的):
<CR_B.3.1>提供了用于创建各种报告格式的配置设置,还提供了在HTML详细报告中使用CWE标识符搜索功能所需的步骤。以各种报告格式(详细报告),该产品列出了每个漏洞及其CWE识别信息,并具有映射关系。
CWE标识符的电子文档元素
提供示例文档,以证明从功能的各个元素到相应的CWE标识符的映射(受到推崇的):):
可以通过“ CWE兼容说明手册”实现将CWE标识符映射到特定漏洞的实现方法的描述。参考<Cr.5.1>。
图形用户界面(GUI)问题 通过GUI 使用CWE标识符查找元素
给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能,以通过寻找其关联的CWE标识符来识别您的功能元素(必需的):
请参考<CR_A.2.1>。
GUI元素到CWE标识符映射
简要描述如何为单个安全元素列出相关的CWE标识符,或讨论用户如何使用CWE标识符和功能元素之间的映射,还描述了映射的格式(必需的):
请参考<CR_A.2.2>。
GUI导出电子文档格式信息
提供有关您提供的不同电子文档格式的详细信息(受到推崇的):
每个漏洞及其具有映射关系的CWE标识信息都以各种报告格式列出(详细报告)。用户可以通过浏览器,PDF读取器,办公室单词和文本编辑器来查看产品以不同格式查看报告。通过这些工具携带的“搜索”功能,用户可以轻松找到所需的CWE ID和与之相对应的漏洞信息。CR_B.3.1>。
签名问题 兼容性
拥有授权的个人标志和日期以下兼容性声明(必需的):
“作为我组织的授权代表,我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”
名称:Wei Gao
标题:产品经理
准确性
拥有授权的个人标志和日期,以下准确性声明(受到推崇的):
“作为我组织的授权代表,据我所知,我们功能存储库与CWE标识符之间的映射没有错误,我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“
名称:Wei Gao
标题:产品经理
关于falsepitions和false-sengatives 和/或的声明
仅对于工具和服务 - 拥有授权的个人标志和日期,以下有关您的工具效率的说明,以识别安全元素(必需的):
“作为我组织的授权代表,据我所知,通常在我们的能力报告特定的安全元素时,通常是正确的,通常是当发生与特定安全元素相关的事件时,我们的能力通常将其报告。“
名称:Wei Gao
标题:产品经理
|
普遍的弱点
播客
中等的
万博下载包新闻档案
