Want to see Parasoft in action? Sign up for our Monthly Demos! See Demos & Events >>

X
DISA ASD STIG

高效、安全地实现DISA ASD STIG合规性

简化DISA ASD STIG合规性

您的软件开发团队可以通过Parasoft在所有需求中简化DISA ASD STIG合规性来得到行业领先的支持。从深度应用程序扫描(涵盖OWASP Top 10、溢出、竞争条件和错误处理)到测试自动化应用到STIG功能验证需求。

Parasoft的解决方案是从一开始设计,是轻量级和集装化的,可以支持现代国防部DevSecOps计划,如DSOP。

什么是 DISA ASD STIG?

国防信息系统局(DISA)提供各种安全技术实施指南(STIG),为在国防部(DoD)网络上安全实施和部署应用程序提供指导。应用程序安全和开发(ASD) STIG涵盖内部应用程序开发和第三方应用程序评估。

其目的在执行摘要中阐明:“这些需求旨在协助应用程序开发项目经理、应用程序设计人员/开发人员、信息系统安全经理(ISSM)、信息系统安全官员(ISSO)和系统管理员(SA)为其应用程序配置和维护安全控制。

使用Parasoft解决方案实施DISA ASD STIG

ASD STIG使用严重程度分类代码(CAT I, CAT II,和CAT III)根据特定指南的使用可能产生的影响来组织指南并对指南进行优先排序。CAT I包含了最关键的问题,让你的团队一开始就把他们的注意力放在这些问题上。ASD STIG中的大多数项目属于CAT II。

DISA类别和按严重程度分布

根据产品和过程文档以及观察和验证功能来评估是否符合STIG要求。这些指南适用于产品的整个生命周期,从配置到部署、维护和生命周期结束。

Parasoft的测试自动化工具提供应用程序扫描(渗透测试或DAST)、应用程序代码扫描(静态代码分析或SAST)和其他解决方案,来帮助验证DISA ASD STIG合规性。

Parasoft如何帮助实现DISA ASD STIG合规性

您可以在Parasoft测试解决方案的帮助下实现DISA ASD STIG合规,该解决方案识别标准所需的安全漏洞。

Parasoft静态分析通过针对C/C++, Java, 和C#/.NET的预配置设置和特定Web仪表板报告,对 OWASP Top 10提供开箱即用地支持。Parasoft工具中的OWASP报告为项目提供了一个完全可审计的合规框架。这些报告集成到一个特定的标准指示板中,如上图所示。

验证合规性

ASD STIG概述了验证符合需求的方法,如应用程序扫描、应用程序代码扫描、手工检查和功能安全测试。我们的工具套件通过静态分析提供应用程序代码扫描——特别是支持OWASP Top 10的ASD STIG要求——以及缓冲区溢出、竞争条件和错误处理。从开发的一开始就使用静态分析,可以防止安全问题在一开始就进入软件。

验证API要求

验证API要求是使测试自动化的一个关键领域,有利于 ASD STIG 测试。使用Parasoft SOAtest可以高度自动化API测试。测试此漏洞的一种方法是在SOAtest中创建一个测试,来检查SOAP消息并验证它们。SOAtest 的渗透测试和模糊测试可以针对您的功能测试套件生成和运行各种攻击场景。

查看代码覆盖率指标

代码覆盖率是ASD STIG中列出的测试方法的另一个重要方面。为了更广泛地了解您正在测试的内容,测试的质量以及如何根据优先级定制测试计划,Parasoft DTP在运行时从测试框架中获取代码覆盖率指标,并将覆盖率与手动测试、自动化功能测试和单元测试联系起来。

自动化其他STIG规则

Parasoft提供了一种实用的方法,强调通过静态代码分析进行STIG验证,并采用预防性技术尽可能地识别和消除漏洞。通过功能测试工具将其他STIG规则完全自动化,减少了 DevSecOps 组的 CI/CD 中繁琐的手动测试。

WHITEPAPER

How to Approach DISA ASD STIG Compliance for Software Development

下载我们的白皮书,将Parasoft的解决方案发挥作用,以实现高效、安全且经济高效的DISA ASD STIG软件合规性。

Download
webinar

How to Approach DISA-ASD-STIG Compliance

应用程序安全和开发的DISA STIG (DISA ASD STIG)可能令人生畏。我们可以向您展示一种使用STIG的简单方法。

Watch Now