Comment ça marche?
La technologie d'analyse de code statique de Parasoft fournit des résultats de haute qualité sur la plus large gamme de types de défauts de sécurité. Avec plus de 2500 règles d'analyse statique, Parasoft est capable non seulement de détecter les défauts de sécurité dans le code, mais également d'identifier la cause première des problèmes d'ingénierie qui ont conduit à de telles vulnérabilités. Les violations signalées contiennent des métadonnées qui incluent la gravité, les traces de pile et les valeurs de paramètre qui conduisent au problème signalé, ainsi que des conseils d'atténuation pour corriger le code correctement. Cette prise en charge à la pointe de l'industrie des règles et normes d'analyse statique prend entièrement en charge une approche sécurisée dès la conception du développement logiciel.
Les avertissements de sécurité d'analyse statique et les violations des normes de codage sont signalés de différentes manières en fonction des besoins de l'individu et de l'organisation. Les développeurs peuvent obtenir des violations signalées directement dans leur IDE où ils travaillent, avec une documentation complète et la possibilité de réparer, supprimer, réaffecter et différer les violations. Les gestionnaires disposent d'une interface Web puissante qui fournit des détails sous la forme de rapports personnalisables, de tableaux de bord, de tendances historiques, de données de conformité et d'audit, et de puissantes analyses extensibles.
Parasoft a mis en œuvre toutes les principales normes de sécurité des applications, telles que SEI CERT C / C ++, les directives de codage CWE (Common Weakness Enumeration), UL 2900 et OWASP, ainsi que des tableaux de bord spécifiques à la sécurité pour chacun qui aident les utilisateurs à comprendre les risques et la hiérarchisation des violations / vulnérabilités / défauts de sécurité en suspens.
Parasoft a le support le plus complet pour la norme CERT. La configuration de Parasoft utilise des cartes de données en coulisses qui fournissent une vue centrée sur CERT, et toutes les violations sont signalées à l'aide d'identifiants CERT de manière native. C'est la configuration prête à l'emploi la plus simple disponible chez n'importe quel fournisseur SAST. En outre, Parasoft a mis en œuvre l'ensemble unique de métadonnées du CERT pour chaque directive qui inclut les facteurs utilisés pour déterminer le risque et la hiérarchisation des résultats de l'analyse statique, de sorte que toutes les violations contiennent des informations sur la probabilité d'exploitation, la difficulté et le coût de la correction, et la gravité si elles sont exploitées. .

Parasoft prend également en charge les directives de codage CWE. Les configurations sont disponibles non seulement pour les problèmes dangereux les plus courants du «Top 25», mais également pour le CWE CUSP. Une fois qu'une équipe a atténué les vulnérabilités critiques dans le CWE Top 25, la configuration CUSP est une excellente deuxième étape avant de passer aux directives complètes de CWE. De plus, le Top 25 et le CUSP sont tous deux des éléments essentiels de la norme UL 2900, donc leur conformité permet de préparer les produits au déploiement dans un écosystème IoT.
Parasoft fournit des tableaux de bord et des rapports centrés sur CWE afin que les violations soient signalées en fonction des identifiants CWE, ce qui vous permet de comprendre facilement sur quoi vous travaillez et de prouver la conformité pour respecter les réglementations nécessaires. Parasoft exploite les données de CWE pour aider à hiérarchiser et à classer les résultats SAST en fonction de leur impact potentiel en aval.
Parasoft vous permet non seulement de trouver des vulnérabilités existantes, mais de renforcer votre code avec des normes de codage sécurisées solides qui réduisent le nombre de CVE (Common Vulnerabilities and Exposures) dans votre code / application / appareil. L'analyse peut s'exécuter directement dans l'EDI choisi par le développeur, sur un serveur de build et directement dans le cadre du pipeline CI / CD, donnant au développeur les résultats quand et où il en a besoin, tout en fournissant à la direction la compréhension nécessaire pour minimiser les risques de sécurité et passer rapidement. audits de sécurité.