软件开发团队可以通过Parasoft在所有需求中简化DISA ASD STIG合规性来得到行业领先的支持。从深度应用程序扫描(涵盖OWASP Top 10、溢出、竞争条件和错误处理)到测试自动化应用到STIG功能验证需求。
Parasoft的解决方案是从一开始设计,是轻量级和集装化的,可以支持现代国防部DevSecOps计划,如DSOP。
国防信息系统局(DISA)提供各种安全技术实施指南(STIG),为在国防部(DoD)网络上安全实施和部署应用程序提供指导。应用程序安全和开发(ASD) STIG涵盖内部应用程序开发和第三方应用程序评估。
其目的在执行摘要中阐明:“这些需求旨在协助应用程序开发项目经理、应用程序设计人员/开发人员、信息系统安全经理(ISSM)、信息系统安全官员(ISSO)和系统管理员(SA)为其应用程序配置和维护安全控制。
ASD STIG使用严重程度分类代码(CAT I, CAT II,和CAT III)根据特定指南的使用可能产生的影响来组织指南并对指南进行优先排序。CAT I包含了最关键的问题,让你的团队一开始就把他们的注意力放在这些问题上。ASD STIG中的大多数项目属于CAT II。
DISA类别和按严重程度分布
根据产品和过程文档以及观察和验证功能来评估是否符合STIG要求。这些指南适用于产品的整个生命周期,从配置到部署、维护和生命周期结束。
Parasoft的测试自动化工具提供应用程序扫描(渗透测试或DAST)、应用程序代码扫描(静态代码分析或SAST)和其他解决方案,来帮助验证DISA ASD STIG合规性。
您可以在Parasoft测试解决方案的帮助下实现DISA ASD STIG合规,该解决方案识别标准所需的安全漏洞。
Parasoft静态分析通过针对C/C++, Java, 和C#/.NET的预配置设置和特定Web仪表板报告,对 OWASP Top 10提供开箱即用地支持。Parasoft工具中的OWASP报告为项目提供了一个完全可审计的合规框架。这些报告集成到一个特定的标准指示板中,如上图所示。
|
|