CWE词汇表定义

您的组织名称：

上海Feiyu Technology Co.，Ltd。

网站：

www.feys.com

兼容功能：

科拉克斯

功能主页：

http://feysh.com

产品可访问性

简要说明如何以及在何处将您的能力提供给客户和公众（必需的）：

用户可以通过访问www.feys.com申请Corax的审判帐户，或通过发送电子邮件至contact@feysh.com申请试用帐户，通常，分配给申请人的产品访问地址和试用帐户信息将在两个工作日内通过电子邮件回复。

步骤1：访问“ www.feysh.com”，将鼠标移至主页上的“技术支持”按钮，然后单击“联系我们”以填写试用申请信息。

步骤2：输入您的组织或公司名称（必需）

步骤3：输入您的位置（可选）

步骤4：输入您的区域（可选）

步骤5：输入您的电子邮件地址，以接收申请人分配的产品访问地址和试用帐户的电子邮件答复（必需）

步骤6：输入您的联系信息（必需）

步骤7：输入您知道该产品的频道（必需）

步骤8：输入您感兴趣的产品（需要）

步骤9：单击“提交”按钮，我们将通过电子邮件收到您的申请信息。

用户可以使用接收到的登录信息登录到Corax系统

1. 单击主页上的“创建项目”以创建一个新项目，如图1所示；
2. 在项目列表中，查看创建的项目，如图2所示；
3. 如图3所示，在项目中创建相应的扫描任务；
4. 测试完成后，您可以在任务列表中查看相应的测试结果，如图4和图5所示

图1

图2

图3

图4

图5

地图货币指示

描述您的功能指示最新的CWE内容用于创建或更新其映射的方法（必需的）：

用户可以单击导航栏中的“标准” - >“标签”，以查看详细的CWE映射信息，包括与详细漏洞相对应的CWE规则号，相应的规则名称以及与官方CWE说明页面的链接。同时，在“标准” - >“数据源”页面上，您可以查看CWE配置文件和CWE官方网站地址。

地图货币更新方法

表示您计划更新映射以反映当前的CWE内容的频率，并描述您在将其映射到存储库时与CWE内容保持合理最新的方法（推荐的）：

每次更新产品时，我们都会更新漏洞数据库和CWE识别信息，该信息由漏洞映射。我们将尽一切努力来保留每个版本中最新的CWE内容，我们将包括相关漏洞中的CWE-ID。Corax的主要版本每六个月发布一次。

地图货币更新时间

描述您向客户解释的时间和地点，他们应该期望您能力映射的更新反映新近可用的CWE内容（必需的）：

发布产品的主要版本后，我们的工具和文档将每六个月更新一次，并且用户将能够在每个版本中获得最新的映射关系。

CWE和兼容性文档

提供您的文档描述CWE和CWE兼容性的副本或指示的位置（必需的）：

1.登录系统后，用户可以选择“标准”菜单中的“标准”模块，单击“标签”下的任何项目以输入详细信息页面，并显示相应的CWE ID规则和详细信息。如图1所示；图2

2.登录系统后，用户选择“标准”菜单中的“数据源”模块。在此页面上，用户可以查看CWE官方配置文件和CWE官方网站URL链接。如图3所示

图1

图2

图3

使用CWE标识符查找元素的文档

提供您的文档的副本或指示到其位置，描述了您的客户如何使用CWE标识符在您的功能存储库中找到单个安全元素的特定详细信息（必需的）：

用户单击导航栏中的“项目”页面以输入项目列表。选择项目后，单击以输入扫描任务列表页面。再次单击以输入缺陷详细信息页面。在缺陷列表的右上角搜索CWE ID。单击输入后，将显示相应的CWE ID规则。

使用元素查找CWE标识符的文档

提供您的文档描述用户将遵循的过程的副本或指示，以查找与您功能存储库中个人安全元素相关的CWE标识符（必需的）：

通过单击“缺陷列表”页面中的“过滤器”按钮，用户可以按规则或标签过滤相应的CWE ID。如图1所示，图2和图3

图1

图2

图3

与CWE相关材料的文档索引

如果您的文档包括索引，请提供您在索引中“ CWE”下列出的项目和资源的副本。或者，提供指示这些“ CWE”项目在您的网站上发布的位置（推荐的）：

参考<CR_6.1>用户可以在导航栏中单击“标准” - >“标签”，以查看详细的CWE映射信息，包括与详细漏洞相对应的CWE规则号，相应的规则名称以及与官方CWE说明页面的链接。同时，在“标准” - >“数据源”页面上，您可以查看CWE配置文件和CWE官方网站

特定于类型的功能问题

使用CWE标识符查找任务

给出详细的示例和解释用户如何通过寻找关联的CWE标识符来定位工具中的任务（必需的）：

参考<CR_6.1>用户可以在导航栏中单击“标准” - >“标签”，以查看详细的CWE映射信息，包括与详细漏洞相对应的CWE规则号，相应的规则名称以及与官方CWE说明页面的链接。同时，在“标准” - >“数据源”页面上，您可以查看CWE配置文件和CWE官方网站

使用报告中的元素查找CWE标识符

给出详细的示例和解释，以说明如何确定单个安全元素的报告，该工具允许用户确定报告中各个安全元素的关联的CWE标识符（必需的）：

通过单击导航栏中的“项目”页面，用户进入项目列表。选择项目后，用户进入任务列表页面。单击扫描任务后，用户单击“缺陷列表”页面以显示特定的缺陷详细信息。参见<CR_5.2>

获取声称的CWE标识符覆盖范围

给出详细的示例和解释，说明用户如何获得所有者声称该工具有效定位软件的所有CWE标识符的列表（必需的）：

参考<CR_6.1>用户可以在导航栏中单击“标准” - >“标签”，以查看详细的CWE映射信息，包括与详细漏洞相对应的CWE规则号，相应的规则名称以及与官方CWE说明页面的链接。同时，在“标准” - >“数据源”页面上，您可以查看CWE配置文件和CWE官方网站

使用CCR提供索取的CWE标识符覆盖范围

对用户如何使用所有CWE标识符找到覆盖范围索赔表示（CCR）XML文档的详细说明（推荐的）：

我们尚未提供CCR XML文档。

获取与任务相关的CWE标识符列表

给出详细的示例和解释用户如何获得与工具任务相关联的所有CWE标识符的列表（推荐的）：

请参考<CR_5.2>

使用CWE标识符列表选择任务

描述用户通过提供CWE标识符列表的文件来选择一组任务的步骤和格式（推荐的）：

请参考<CR_6.1>

使用单个CWE标识符选择任务

描述用户将通过使用单个CWE标识符浏览，选择和取消选择该工具的一组任务的步骤（推荐的）：

请参考<CR_6.1>

请求的CWE标识符的非支持通知

提供有关该工具如何通知用户的说明，无法执行与所选CWE标识符关联的任务（推荐的）：

当您搜索CWE ID并且没有结果时，通知用户与所选CWE标识符关联的任务无法执行。

使用CWE标识符确定服务覆盖范围

给出详细的示例和解释用户可以使用CWE标识符的不同方式，以找出服务由服务测试或检测到的安全元素（即通过询问，通过提供列表，通过检查覆盖范围图或其他某些其他机制来询问，提供列表，）（必需的）：

通过单击导航栏中的“项目”页面，用户进入项目列表。选择项目后，用户进入任务列表页面。单击扫描任务后，用户单击“缺陷列表”页面以显示特定的缺陷详细信息。请参考<CR_2.4>

使用元素在服务报告中查找CWE标识符

给出详细的示例和解释，说明如何确定单个安全元素的报告，用户可以确定报告中单个安全元素的关联的CWE标识符（必需的）：

在导出报告的过程中，用户可以根据CWE-ID过滤导出报告。

服务的产品利用详细信息

如果该产品标识安全元素，请提供服务允许用户可以直接访问的任何产品的名称和版本编号（推荐的）：

Corax v2.2.4

使用CWE标识符查找在线功能任务

给用户提供“查找”或“搜索”功能如何使用“查找”或“搜索”功能的详细示例和说明，以通过查找其关联的CWE标识符或通过在线映射将功能的每个元素链接到其关联的在线映射来找到在线功能中的任务CWE标识符（必需的）：

用户可以通过在“缺陷列表”中搜索CWE-ID查询；输入详细信息后，用户可以查看此ID下显示的特定缺陷详细信息

在线功能接口模板用法

提供有关某人如何使用您的“ URL模板”接口到功能搜索功能的详细说明（推荐的）：

用户可以单击以下链接http://192.168.50.196:9006/#/rule/cwetag/cwetag/tagdetails?id=1&tag_standard=1，用户可以输入相应的CWE-ID页面

在线能力CGI获取方法支持

如果URL模板适用于CGI程序，它是否支持HTTP“ GET”方法？（推荐的）：

y

使用在线能力元素查找CWE标识符

给出详细的示例和解释，以说明如何确定单个安全元素的报告，在线功能允许用户确定报告中各个安全元素的关联的CWE标识符（必需的）：

请参考<CR_A.3.2>

获取声称的CWE标识符覆盖范围

给出详细的示例和解释用户如何获得所有者声称在线功能存储库封面的所有CWE标识符的列表（必需的）：

在左导航栏的“选项卡”页面中，用户可以查询所有与CWE-ID相关列表

CWE标识符映射的在线功能元素

如果未提供单个安全元素的详细信息，请给出示例和解释用户如何获得将每个元素与其关联的CWE标识符链接的映射，否则输入N/A（必需的）：

电子文档格式信息

提供有关您提供的不同电子文档格式的详细信息，并描述如何搜索它们与CWE相关的特定文本（必需的）：

我们支持的导出格式是PDF，Word，Excel和HTML。用户可以通过关键字搜索轻松搜索特定的CWE相关文本。例如，我们打开导出的Excel文档，然后按“ CTRL + F”搜索“ CWE”，如下图“搜索图”所示。

PDF

Excel

数字

html

CWE标识符的电子文档列表

如果功能的标准电子文档之一仅通过其短名称或标题列出安全元素提供示例文档，以说明如何为每个单独的安全元素列出相关的CWE标识符（必需的）：

我们以表格的形式列出了映射关系。例如，文档格式为PDF。用户可以通过搜索序列号或关键字来轻松找到相关的CWE ID。

通过GUI 使用CWE标识符查找元素

给出详细的示例和解释GUI如何为用户提供“查找”或“搜索”功能，以通过寻找其关联的CWE标识符来识别您的功能元素（必需的）：

请参考<CR_5.2>

GUI元素到CWE标识符映射

简要描述如何为单个安全元素列出相关的CWE标识符，或讨论用户如何使用CWE标识符和功能元素之间的映射，还描述了映射的格式（必需的）：

请参考<CR_5.2>

GUI导出电子文档格式信息

提供有关您提供的不同电子文档格式的详细信息（推荐的）：

请参考<CR_B.3.1>

兼容性

拥有授权的个人标志和日期以下兼容性声明（必需的）：

“作为我组织的授权代表，我同意我们将遵守所有强制性的CWE兼容性要求以及适合我们特定类型能力的所有其他强制性CWE兼容性要求。”

名称：乔伊·比恩（Joy Bian）

标题：产品经理

准确性

拥有授权的个人标志和日期，以下准确性声明（推荐的）：

“作为我组织的授权代表，据我所知，我们功能存储库与CWE标识符之间的映射没有错误，我们的功能报告和这些CWE标识符在可用的CWE存储库中尽可能具体。“

名称：乔伊·比恩（Joy Bian）

标题：产品经理

关于falsepitions和false-sengatives 和/或的声明

仅对于工具和服务 - 拥有授权的个人标志和日期，以下有关您的工具效率的说明，以识别安全元素（必需的）：

“作为我组织的授权代表，据我所知，通常在我们的能力报告特定的安全元素时，通常是正确的，通常是当发生与特定安全元素相关的事件时，我们的能力通常将其报告。“

名称：乔伊·比恩（Joy Bian）

标题：产品经理