Le Sommet de l'ASTQ est en direct le 4 novembre! Écoutez les chefs de file de l'industrie expliquer comment ils offrent une qualité continue. S'inscrire maintenant "

X
CWE

Conformité CWE avec Parasoft

Qu'est-ce que le Top 25 CWE?

CWE (Common Weakness Enumeration) est une liste complète de plus de 800 erreurs de programmation, d'erreurs de conception et d'erreurs d'architecture qui peuvent conduire à des vulnérabilités exploitables - plus que juste le Top 25. Le CWE / SANS Top 25 des erreurs logicielles les plus dangereuses est une liste abrégée des erreurs les plus répandues et les plus critiques pouvant entraîner de graves vulnérabilités dans les logiciels, souvent faciles à trouver et à exploiter. Ce sont les faiblesses les plus dangereuses car elles permettent aux attaquants de prendre complètement le contrôle du logiciel, de voler des données et des informations sur le logiciel ou d'empêcher le logiciel de fonctionner du tout.

Application de la conformité CWE avec l'analyse statique

Parasoft est certifié compatible CWE, ce qui signifie que les utilisateurs de Parasoft peuvent facilement comprendre quel vérificateur d'analyse statique est associé à quel CWE pendant la configuration, la correction et le reporting. Grâce à l'approche centrée sur CWE de Parasoft, vous n'avez rien à faire de spécial - il suffit de corriger les violations et de générer automatiquement ce dont vous avez besoin pour la conformité. Parasoft a également assisté les activités de priorisation (triage) et d'audit (suppression) en intégrant l'impact technique CWE dans le centre d'analyse.

Comme indiqué à droite, les commentaires en temps réel uniques de Parasoft donnent aux utilisateurs une vue continue de la conformité avec le CWE, en fournissant des tableaux de bord de conformité interactifs, des widgets et des rapports qui ont le cadre d'évaluation des risques CWE implémenté directement dans le tableau de bord lui-même.

Comment Parasoft contribue à atteindre la conformité CWE

Les utilisateurs de Parasoft peuvent tirer parti des produits d'analyse de code statique de Parasoft pour C / C ++, Java et .NET pour réduire le coût de mise en conformité CWE et gagner du temps et des efforts.

Parasoft prend en charge les directives CWE avec des configurations d'analyse de code dédiées qui correspondent aux meilleures pratiques décrites dans la norme. Parasoft prend en charge l'énumération commune des faiblesses de Mitre (CWE) pour les langages C, C ++, Java et .NET - les fichiers PDF liés montrent comment les règles d'analyse statique de Parasoft correspondent au CWE:

Établir, appliquer et surveiller le respect des politiques

L'approche politique de Parasoft définit les attentes de l'organisation en matière de qualité tout en garantissant une application cohérente et discrète des politiques. L'infrastructure automatisée surveille automatiquement la conformité aux politiques pour la visibilité et l'auditabilité.

Les mappages CWE prêts à l'emploi de Parasoft signifient que les utilisateurs n'ont pas à perdre de temps à essayer de déterminer quels sont les vérificateurs pour quels CWE lors de la configuration, et lors de la correction, les utilisateurs sauront toujours par nature sur quel CWE est travaillé car le les noms des vérificateurs d'analyse statique vous le disent.

Pour l'audit et les rapports, Parasoft montre exactement quelles règles sont couvertes par chaque vérificateur, y compris un ensemble complet de fichiers PDF montrant le plan de conformité et les rapports d'écart - mais vous n'avez presque pas besoin du plan de conformité, car les noms sont les mêmes que CWE.

Le développement d'applications sécurisées implique plus qu'une analyse statique. Le développement d'applications véritablement sécurisées nécessite que les tests impliquent un mélange de méthodes de test et d'analyse appliquées tout au long du SDLC, et également qu'un large ensemble d'activités de gestion du cycle de vie des logiciels et de gestion des vulnérabilités / risques soit intégré tout au long du processus pour garantir la fourniture de logiciels sécurisés et fiables. .

Parasoft répond à ces deux attentes avec sesSolution de sécurité des applications. Ce produit intégré étend les capacités d'analyse statique de Parasoft, fournissant un système préconfiguré avec des processus et des meilleures pratiques qui aident les organisations à produire des applications sécurisées de manière cohérente et efficace.

Contrairement à d'autres fournisseurs d'analyses statiques, Parasoft fournit des configurations de politique / test prêtes à l'emploi qui sont entièrement configurables et peuvent être exécutées à partir de l'EDI et via le processus CI / CD pour aider à localiser rapidement les vulnérabilités plus tôt dans le processus de développement logiciel.

Parasoft fournit une vue nouvelle et unique de l'état de conformité en fournissant une page de tableau de bord de conformité interactive, des widgets et des rapports qui ont mis en œuvre le cadre d'évaluation des risques CWE directement dans le tableau de bord lui-même.

Le système de reporting basé sur les données de Parasoft vous aide à identifier facilement les problèmes et les informations les plus importants à partir du pool de problèmes potentiels que vous rencontrez, tout en vous permettant d'entrer automatiquement à partir de n'importe quel outil Parasoft ainsi que d'une foule d'autres outils (commerciaux et open source ). Il dispose également d'API REST ouvertes pour l'entrée et la sortie, de sorte que vous pouvez facilement l'intégrer dans vos systèmes de construction et de développement, ainsi que dans des systèmes de comptabilité logicielle d'enregistrement pour l'audit.

PAPIER BLANC

Cybersécurité intégrée grâce aux normes de codage sécurisé CWE et CERT

Apprenez-en davantage sur la façon de garantir la sécurité des logiciels grâce à un processus de développement rigoureux basé sur des normes.

Télécharger