Cumplimiento de CWE con Parasoft

CWE (Common Weakness Enumeration) es una lista completa de más de 800 errores de programación, errores de diseño y errores de arquitectura que pueden conducir a vulnerabilidades explotables, más que solo los 25 principales. Los 25 errores de software más peligrosos de CWE / SANS es una lista abreviada de los errores más extendidos y críticos que pueden dar lugar a vulnerabilidades graves en el software, que a menudo son fáciles de encontrar y explotar. Estas son las debilidades más peligrosas porque permiten a los atacantes tomar el control por completo del software, robar datos e información del software o evitar que el software funcione en absoluto.

Aplicación del cumplimiento de CWE con análisis estático

Parasoft está certificado como compatible con CWE, lo que significa que los usuarios de Parasoft pueden comprender fácilmente qué verificador de análisis estático está asociado con qué CWE durante la configuración, la corrección y la generación de informes. Debido al enfoque centrado en CWE de Parasoft, en realidad no tiene que hacer nada especial, simplemente corrija las infracciones y genere automáticamente lo que necesita para el cumplimiento. Parasoft también ha ayudado a las actividades de priorización (triaje) y auditoría (supresión) incorporando el impacto técnico de CWE en el centro de análisis.

Como se muestra a la derecha, la retroalimentación única en tiempo real de Parasoft brinda a los usuarios una visión continua del cumplimiento con el CWE, al proporcionar paneles de control de cumplimiento, widgets e informes interactivos que tienen el marco de evaluación de riesgos de CWE implementado dentro del propio panel.

Cómo ayuda Parasoft a lograr el cumplimiento de CWE

Los usuarios de Parasoft pueden aprovechar Productos de análisis de código estático de Parasoft para C/C++, Java y .NETpara reducir el costo de lograr el cumplimiento de CWE y ahorrar tiempo y esfuerzo.

Parasoft admite las pautas de CWE con configuraciones de análisis de código dedicadas que se asignan a las mejores prácticas descritas en el estándar. Parasoft admite la enumeración de debilidades comunes (CWE) de Mitre para los lenguajes C, C ++, Java y .NET; los PDF vinculados muestran cómo las reglas de análisis estático de Parasoft se asignan a la CWE:

• Soporte de Parasoft para CWE en C / C ++ - C / C ++ test 2022.x
• Soporte de Parasoft para CWE en C / C ++ - C / C ++ test 2021.x
• Soporte de Parasoft para CWE en .NET - dotTEST 2021.x
• Soporte de Parasoft para CWE en Java - Jtest 2021.x

Establecer, aplicar y supervisar el cumplimiento de las políticas

El enfoque basado en políticas de Parasoft define las expectativas de la organización en torno a la calidad al tiempo que garantiza una aplicación de políticas coherente y discreta. La infraestructura automatizada monitorea automáticamente el cumplimiento de las políticas para obtener visibilidad y auditabilidad.

Las asignaciones de CWE listas para usar de Parasoft significan que los usuarios no tienen que perder el tiempo tratando de averiguar qué comprobadores son para qué CWE al configurar, y al arreglar, los usuarios siempre sabrán inherentemente en qué CWE se está trabajando porque el Los nombres de los verificadores de análisis estático te lo dicen.

Para auditorías e informes, Parasoft muestra exactamente qué reglas cubre cada verificador, incluido un conjunto completo de archivos PDF que muestran el plan de cumplimiento y los informes de desviación, pero casi no necesita el plan de cumplimiento, porque los nombres son los mismos que los de CWE.