Wie funktioniert es?
Statische Codeanalyse-Technologie von Parasoft liefert qualitativ hochwertige Ergebnisse für die unterschiedlichsten Arten von Sicherheitsmängeln. Mit über 2500 statischen Analyseregeln ist Parasoft in der Lage, nicht nur Sicherheitsmängel im Code zu erkennen, sondern auch die zugrunde liegenden technischen Probleme zu lokalisieren, die zu solchen Schwachstellen geführt haben. Gemeldete Verstöße enthalten Metadaten mit Schweregrad, Stacktraces und Parameterwerten, die zu dem gemeldeten Problem führen, sowie Empfehlungen zur Schadensbegrenzung, um den Code ordnungsgemäß zu beheben. Diese branchenführende Unterstützung für statische Analyseregeln und -standards unterstützt vollständig einen Secure-by-Design-Ansatz für die Softwareentwicklung.
Sicherheitswarnungen für statische Analysen und Verstöße gegen Codierungsstandards werden je nach den Anforderungen des Einzelnen und der Organisation auf verschiedene Weise gemeldet. Entwickler können Verstöße direkt in ihrer IDE melden, in der sie arbeiten, mit vollständiger Dokumentation und der Möglichkeit, Verstöße zu reparieren, zu unterdrücken, neu zuzuweisen und aufzuschieben. Manager erhalten eine leistungsstarke Weboberfläche, die Details in Form von anpassbaren Berichten, Dashboards, historischen Trends, Compliance- und Auditdaten sowie leistungsstarken erweiterbaren Analysen bereitstellt.
Parasoft hat alle wichtigen Anwendungssicherheitsstandards implementiert, wie z. B. SEI CERT C / C ++, CWE-Codierungsrichtlinien (Common Weakness Enumeration), UL 2900 und OWASP sowie sicherheitsspezifische Dashboards für jedes, die den Benutzern helfen, das Risiko und die Priorisierung von zu verstehen ausstehende Verstöße / Schwachstellen / Sicherheitsmängel.
Parasoft bietet die umfassendste Unterstützung für den CERT-Standard. Die Parasoft-Konfiguration verwendet Datenkarten hinter den Kulissen, die eine CERT-zentrierte Ansicht liefern, und alle Verstöße werden nativ mithilfe von CERT-Kennungen gemeldet. Dies ist die einfachste sofort einsatzbereite Konfiguration, die von jedem SAST-Anbieter angeboten wird. Darüber hinaus hat Parasoft für jede Richtlinie den einzigartigen Satz von Metadaten von CERT implementiert, der Faktoren enthält, die zur Bestimmung des Risikos und zur Priorisierung statischer Analyseergebnisse verwendet werden. Alle Verstöße enthalten daher Informationen über die Wahrscheinlichkeit der Ausnutzung, die Schwierigkeit und die Kosten der Behebung sowie den Schweregrad bei Ausnutzung .

Parasoft unterstützt auch die CWE-Codierungsrichtlinien. Konfigurationen sind nicht nur für die häufigsten gefährlichen Probleme der „Top 25“ verfügbar, sondern auch für die CWE CUSP. Sobald ein Team die kritischen Schwachstellen in den CWE Top 25 behoben hat, ist die CUSP-Konfiguration ein guter zweiter Schritt, bevor Sie mit den vollständigen CWE-Richtlinien fortfahren. Darüber hinaus sind sowohl die Top 25 als auch die CUSP Kernelemente des UL 2900-Standards. Die Einhaltung dieser Standards hilft daher, Produkte für den Einsatz in einem IoT-Ökosystem vorzubereiten.
Parasoft bietet CWE-zentrierte Dashboards und Berichte, sodass Verstöße basierend auf CWE-Kennungen gemeldet werden. So können Sie leicht verstehen, woran Sie arbeiten, und die Einhaltung der erforderlichen Vorschriften nachweisen. Parasoft nutzt Daten von CWE, um SAST-Ergebnisse anhand ihrer potenziellen Auswirkungen nachgelagert zu priorisieren und zu kategorisieren.
Mit Parasoft können Sie nicht nur vorhandene Schwachstellen finden, sondern Ihren Code auch mit soliden, sicheren Codierungsstandards sichern, die die Anzahl der CVEs (Common Vulnerabilities and Exposures) in Ihrem Code / Ihrer Anwendung / Ihrem Gerät reduzieren. Die Analyse kann direkt in der vom Entwickler ausgewählten IDE, auf einem Build-Server und direkt als Teil der CI / CD-Pipeline ausgeführt werden. Auf diese Weise erhalten die Entwickler Ergebnisse, wann und wo sie benötigt werden, und das Management erhält das erforderliche Verständnis, um das Sicherheitsrisiko und die Sicherheit zu minimieren Sicherheitsüberprüfungen.