Want to see Parasoft in action? Sign up for our Monthly Demos! See Demos & Events >>

X
CWE

使用Parasoft遵从CWE编码标准

什么是CWE Top 25?

CWE (Common Weakness Enumeration)包含了超过800个可能导致漏洞的编程错误、设计错误和架构错误。CWE/SANS Top 25列出了最广泛和最关键的错误,这些错误可能导致软件中的严重漏洞,这些漏洞通常很容易被发现和利用。这些是最危险的弱点,因为它们使攻击者能够完全控制软件,窃取软件数据和信息,或完全阻止软件工作。

通过使用静态分析强制遵从CWE编码标准

Parasoft被认证为与CWE兼容,这意味着Parasoft用户可以很简单的使代码遵从CWE标准。由于Parasoft以CWE为中心的方法,您实际上不必做任何特殊的事情—只需修复违规并自动生成报告。

如右图所示,Parasoft通过提供交互式合规仪表盘和报告为用户实时反馈CWE的合规情况,这些仪表盘和报告将CWE风险评估框架正确地实施在仪表盘中。

Parasoft中国官网 | CWE

Parasoft如何帮助客户实现CWE合规性

Parasoft 用户可以利用Parasoft的静态代码分析产品C/C++​, Java,​ 和​.NET​来降低实现CWE合规性的成本、时间和精力。
Parasoft通过专用的代码分析配置支持CWE,这些配置映射到标准中概述的最佳实践。Parasoft支持C、 C++, Java和.NET语言 遵从CWE标准。链接中的PDF显示了Parasoft的静态分析规则与CWE的映射关系:

制定、应用和监控政策的遵循情况

Parasoft的自动化基础架构自动监控策略遵从性,以确保可见性和可审核性。

Parasoft的内置的CWE规则集意味着用户不必浪费时间试图弄清楚哪些规则是针对CWE的,用户可以直接使用内置的CWE规则集确保代码遵从CWE标准。

对于审计和报告,Parasoft会准确显示每个检查所涵盖的规则,包括一整套显示合规计划和偏差报告的PDF文件。

安全应用程序开发涉及的不仅仅是静态分析。真正安全的应用程序开发要求测试包括应用于整个SDLC的测试和分析方法的混合,还要求在整个过程中集成广泛的软件生命周期管理和漏洞/风险管理活动,以确保交付安全可靠的软件。

Parasoft通过其 ​应用程序安全解决方案​解决了这两个问题。这个集成的产品扩展了Parasoft的静态分析功能,提供了一个带有流程和最佳实践的预配置系统,帮助团队有效地生成安全的应用程序。

与其他静态分析供应商不同,Parasoft提供开内置的测试配置,这些测试配置是可以直接进行静态分析的,可以在IDE和CI/CD流程中执行,以帮助用户在软件开发过程的早期快速定位漏洞。

Parasoft提供了一个新的、独特的合规状态视图,它提供了一个交互式的合规仪表板页面和报告,这些页面和报告在仪表板中实现了CWE风险评估框架。

Parasoft的数据驱动报告系统可帮助您轻松从可能存在的问题中识别出最重要的问题和信息,另外它具有很好的集成能力,您可以轻松地将其集成到构建和开发系统中。

Parasoft中国官网 | CWE
WHITEPAPER

Embedded Cybersecurity Through Secure Coding Standards CWE and CERT

详细了解如何通过严格的基于标准的开发过程实现软件安全性。

Download