软件安全的持续过程管控

Parasoft 作为行业中提供以开发方式来驱动产品质量的专业方案供应商领导者,如今已经开始发布软件应用安全方案的下一代最新版本。这些方案致力于帮助客户搭建持续集成管控 平台,以便在软件生命周期即SDLC过程中发现、定位和修复安全问题,同时,提高团队关于安全问题解决的高效工作流程效率。Parasoft的软件安全解决方案可以:

  • 帮助团队建立理想的安全政策驱动模式,Parasoft的软件安全解决方案可以自动监控代码实现中是否遵从了一定的安全政策,是否在软件应用的各个层次应用这些安全政策,是否完全满足产品设定的需求场景,以及持续保障软件应用迭代演化的安全性。

 

  • 帮助团队快速降低安全风险,Parasoft提供快速适用的安全解决方案,帮助客户快速应用软件市场上的权威安全标准,以发现最典型的安全风险漏洞,常见的安全标准如OWASP Top 10,PCI,CWE,DISA STIG,CERT 等等。

 

  • 帮助团队建立任务机制切实解决项复杂的安全问题,Parasoft提供自动化机制以应用在整个软件生命周期SDLC过程中,从软件应用的内外全方位角度定位潜在的安全风险漏洞。

♠  在上述情况下,Parasoft独有的自动化框架能够帮助客户驱动安全政策的可追踪性和切实落地,并且不会打乱项目团队固有的高效工作流程。

 

  为了加快安全问题得到快速修复,每个发现的安全 漏洞会按照优先级排列显示并自动告知团队相应负责人,自动将发现的问题推送到开发人员或测试人员的IDE环境中,并可以直接定位到代码。

 

  另外,Parasoft的开发测试平台DTP还对整个项目的安全状态和团队进度提供了实时的仪表板,帮助决策者在各个不同的关键域采取何种安全应对措施。

1

Parasoft 全面的分析技术

如下表所示,系统地阐述了Parasoft组成软件安全解决方案的具体技术:

表

支持的技术

 

Java / C/C++ / .NET languages (C#, Visual Basic, Managed C++) / SOA / Web services / Web applications / Web 2.0 / RIA / AJAX / SOAP / BPEL / Multiple message protocols / JSP / XML / HTML / JavaScript / WSDL / EJB / CSS / VBScript/ASP

 

支持的框架/标准/认证

OWASP / PCI / DHS / NIST / SOX / HIPAA / ISO/IEC / Others

 

支持的软件环境和平台

Eclipse / Rational Application Developer (RAD) / Microsoft Visual Studio Wind River / Borland / IntelliJ / Oracle / BEA / Software AG/webMethods / IBM MQ-Series / TIBCO / Sonic / IONA / HP / Other leading platforms

相关参考

 

  1. 关于Parasoft的软件应用安全解决方案可视化报表截图样例

 

样例报表1

样例报表1

样例报表2

样例报表2

  1. 相关软件安全标准的资料

 

  • CWE – Common Weakness Enumeration http://cwe.mitre.org
  • OWASP – Open Web Application Security Project http://www.owasp.org
  • PCI – Payment Card Industry Security Standards https://wwpcisecuritystandards.org
  • me – Community based security learning project https://hack.me
  • SAMATE – Software Assurance Metrics And Tool Evaluation http://samate.nist.gov
  • Build Security In – Collaborative security effort https://buildsecurityin.us-cert.gov