软件安全方案介绍--Datasheet

᫫կਞ‫ق‬ᥴ٬ොໜ - PARASOFT
4
• ଆۗࢫᴚୌᒈቘమጱਞ‫ق‬඲ᒽḝۖཛྷୗ，Parasoft 的软件安全解决方案可以自动监控代 码实现中是否遵从了一定的安全政策，是否在软件应用的各个层次应用这些安全政策， 是否完全满足产品设定的需求场景，以及持续保障软件应用迭代演化的安全性。
• ଆۗࢫᴚள᭛ᴳ֗ਞ‫ق‬ᷚᴾ，Parasoft 提供快速适用的安全解决方案，帮助客户快速应 用软件市场上的权威安全标准，以发现最典型的安全风险漏洞，常见的安全标准如 OWASP Top 10，PCI，CWE，DISA STIG，CERT 等等。
Ⴝ᭐ၥᦶ ೮ᖅࢧ୭ၥᦶ
验证安全性策略在消息 / 协议层上正确工 作，同时使用“由外而内”的测试发现漏洞。
确保应用程序不会被安全性攻击攻破。
定期执行所有既有测试套件(如日常地执行) 保证应用程序代码迭代更新开发后的安全
并向团队成员告知测试发现的问题。
性和功能一致性。
‫ݢ‬ᥤ۸ಸᤒ
提供可定制的图形化报表，方便不同角色人 方便用户实时查看问题，并持续改进团队
᫫կਞ‫ق‬ᥴ٬ොໜ - PARASOFT
1
Parasoft ‫ق‬ᶎጱ‫ړ‬ຉದ๞
如下表所示，系统地阐述了 Parsoft 组成软件安全解决方案的具体技术：
功能
优点
ਞ‫ق‬඲ᒽ ᶉா‫ړ‬ຉ
确保安全需求团队中定义清晰、可见且强制 实施。
构建软件安全性的开发和测试蓝图。
查找并消除漏洞的诱因，自动化机制大大 对代码进行基于规则的代码自动化代码扫 节省了代码审查的时间，并使开发者能更 描，查找安全性漏洞代码并指导用户修复。 注重于安全性、功能性和设计等高级分
析。
හഝၞ‫ړ‬ຉ ‫ݶ‬ᤈդᎱਭັ
以静态手段模拟程序不同路径下可能执行方 无需运行程序即可利用静态方式查找动态 式，查找安全风险较高的漏洞，如sql注入、 问题，可追踪数据流向，利于追踪溯源查 敏感数据泄露、线程问题、内存泄露等。 找安全漏洞深层次诱因。
提升代码走查分析的安全性等级，甚至支持 分布式团队和外包开发的代码审查机制。
᫫կਞ‫ق‬ᥴ٬ොໜ - PARASOFT
2
支持的框架/标准/认证 OWASP / PCI / DHS / NIST / SOX / HIPAA / ISO/IEC / Others 支持的软件环境和平台 Eclipse / Rational Application Developer (RAD) / Microsoft Visual Studio Wind River / Borland / IntelliJ / Oracle / BEA / Software AG/webMethods / IBM MQ-Series / TIBCO / Sonic / IONA / HP / Other leading platforms
员查看问题，追踪问题，及及时介入团队的 工作流程，提供效率，把控团队进程和安
安全修复进程。
全风险。
支持的技术
Java / C/C++ / .NET languages (C#, Visual Basic, Managed C++) / SOA / Web services / Web applications / Web 2.0 / RIA / AJAX / SOAP / BPEL / Multiple message protocols / JSP / XML / HTML / JavaScript / WSDL / EJB / CSS / VBScript/ASP
Parasoft 软件安全解决方案介绍
᫫կਞ‫ق‬ጱ೮ᖅᬦᑕᓕഴ
Parasoft 作为行业中提供以开发方式来驱动产品质量的专业方案供应商领导者，如今已经开 始发布软件应用安全方案的下一代最新版本。这些方案致力于帮助客户搭建持续集成管控 平台，以便在软件生命周期即SDLC过程中发现、定位和修复安全问题，同时，提高团队关 于安全问题解决的高效工作流程效率。Parasoft 的软件安全解决方案可以：
提高发现人工逻辑代码安全缺陷的效率。
‫زܔ‬ၥᦶ
自动生成测试用例、打桩和执行单元测试， 在整个系统完成前进行底层模块的功能性
提供代码覆盖率分析技术，验证模块功能和 和安全性验证，降低下游安全性验证的成
代码逻辑。
本。
ᬩᤈ෸ፊഴ/‫ړ‬ຉ 查找程序在运行时暴露出的安全性漏洞。
提早暴露程序在实际环境中可能遇到的安 全漏洞，并提供堆栈分析机制定位问题。
ፘ‫݇ى‬ᘍ
1. 关于Parasoft的软件应用安全解决方案可视化报表截图样例
样例报表1
᫫կਞ‫ق‬ᥴ٬ොໜ - PARASOFT
3
样例报表2
2. 相关软件安全标准的资料
• CWE – Common Weakness Enumeration http://cwe.mitre.org • OWASP - Open Web ApplicaHale Waihona Puke Baiduion Security Project http://www.owasp.org • PCI – Payment Card Industry Security Standards https://www.pcisecuritystandards.org • Hack.me – Community based security learning project https://hack.me • SAMATE - Software Assurance Metrics And Tool Evaluation http://samate.nist.gov • Build Security In – Collaborative security effort https://buildsecurityin.us-cert.gov
为了加快安全问题得到快速修复，每个发现的安全 漏洞会按照优先级排列显示并自动告知团队相应负 责人，自动将发现的问题推送到开发人员或测试人 员的IDE环境中，并可以直接定位到代码。 另外，Parasoft 的开发测试平台DTP还对整个项目 的安全状态和团队进度提供了实时的仪表板，帮助 决策者在各个不同的关键域采取何种安全应对措施。
• ଆۗࢫᴚୌᒈձ‫ۓ‬๢‫ڔګ‬ਫᥴ٬ᶱ॔๥ጱਞ‫ق‬ᳯ᷌，Parasoft提供自动化机制以应用在 整个软件生命周期SDLC过程中，从软件应用的内外全方位角度定位潜在的安全风险漏 洞。
在上述情况下，Parasoft独有的自动化框架能够帮助 客户驱动安全政策的可追踪性和切实落地，并且不 会打乱项目团队固有的高效工作流程。