Pruebas de seguridad C / C ++

Tecnología de análisis de código estático de Parasoft proporciona resultados de alta calidad en la gama más amplia de tipos de defectos de seguridad. Con más de 2500 reglas de análisis estático, Parasoft puede detectar no solo defectos de seguridad en el código, sino también identificar la causa raíz de los problemas de ingeniería que llevaron a tales vulnerabilidades. Las infracciones informadas contienen metadatos que incluyen gravedad, seguimientos de pila y valores de parámetros que conducen al problema informado, así como consejos de mitigación para corregir el código correctamente. Este soporte líder en la industria para reglas y estándares de análisis estático es totalmente compatible con un enfoque seguro desde el diseño para el desarrollo de software.

Las advertencias de seguridad del análisis estático y las violaciones de los estándares de codificación se informan de diversas formas, según las necesidades del individuo y la organización. Los desarrolladores pueden obtener informes sobre las infracciones directamente en su IDE donde están trabajando, con la documentación completa y la capacidad de reparar, suprimir, reasignar y aplazar las infracciones. Los gerentes cuentan con una poderosa interfaz web que proporciona detalles en forma de informes personalizables, paneles de control, tendencias históricas, datos de cumplimiento y auditoría, y poderosas analíticas expandibles.

Parasoft ha implementado todos los principales estándares de seguridad de aplicaciones, como SEI CERT C / C ++, pautas de codificación CWE (Common Weakness Enumeration), UL 2900 y OWASP, junto con paneles de seguridad específicos para cada uno que ayudan a los usuarios a comprender el riesgo y la priorización de violaciones pendientes / vulnerabilidades / defectos de seguridad.

Parasoft tiene el soporte más completo para el estándar CERT. La configuración de Parasoft utiliza mapas de datos detrás de escena que brindan una vista centrada en CERT, y todas las infracciones se informan mediante identificadores CERT de forma nativa. Es la configuración lista para usar más fácil disponible de cualquier proveedor de SAST. Además, Parasoft ha implementado el conjunto único de metadatos de CERT para cada directriz que incluye los factores utilizados para determinar el riesgo y la priorización de los resultados del análisis estático, por lo que todas las infracciones contienen información sobre la probabilidad de explotación, la dificultad y el costo de la reparación, y la gravedad si se explota. .

Parasoft también es compatible con las pautas de codificación de CWE. Las configuraciones están disponibles no solo para los "25 principales" problemas peligrosos más comunes, sino también para CWE CUSP. Una vez que un equipo ha mitigado las vulnerabilidades críticas en el CWE Top 25, la configuración de CUSP es un gran segundo paso antes de pasar a las pautas completas de CWE. Además, tanto el Top 25 como el CUSP son elementos centrales del estándar UL 2900, por lo que cumplir con ellos ayuda a preparar los productos para su implementación en un ecosistema de IoT.

Parasoft proporciona paneles e informes centrados en CWE para que las infracciones se informen en función de los identificadores de CWE, lo que facilita la comprensión de en qué está trabajando y demuestra el cumplimiento para cumplir con las regulaciones necesarias. Parasoft aprovecha los datos de CWE para ayudar a priorizar y categorizar los hallazgos de SAST en función de su impacto potencial posterior.

Parasoft le permite no solo encontrar vulnerabilidades existentes, sino también fortalecer su código con estándares de codificación sólidos y seguros que reducen la cantidad de CVE (Vulnerabilidades y Exposiciones Comunes) en su código / aplicación / dispositivo. El análisis se puede ejecutar directamente en el IDE elegido por el desarrollador, en un servidor de compilación y directamente como parte de la canalización de CI / CD, lo que le brinda al desarrollador resultados cuando y donde los necesite, al mismo tiempo que brinda a la administración la comprensión necesaria para minimizar el riesgo de seguridad y acelerar auditorías de seguridad.