Erfahren Sie, wie die Continuous Quality Platform von Parasoft dabei hilft, Testumgebungen zu steuern und zu verwalten, um zuverlässig hochwertige Software zu liefern. Für Demo registrieren >>

.NET-Sicherheit

Schützen Sie .NET-Code mit dotTEST-Sicherheitstests

Das umfassendste Sicherheitstest-Tool für C # - und VB.NET-Codebasen

Sicherheitstests für die Entwicklung sicherer C # - und VB.NET-Anwendungen

Erkennen Sie Compliance-Schwachstellen kontinuierlich während des gesamten Entwicklungslebenszyklus. Parasoft dotTEST wurde von MITRE als CWE-kompatibel zertifiziert und integriert wichtige Sicherheitsstandards der Branche direkt in Microsoft Visual Studio, als wäre es Teil des Produkts. Mit dotTEST können Sie die Einhaltung kritischer Sicherheitsstandards (OWASP Top 10, CWE Top 25 + On the Cusp, PCI DSS, UL 2900 usw.) überprüfen, um Fehler zu vermeiden, aufzudecken und zu korrigieren - und sicherstellen, dass Ihre C # und VB. NET-Code funktioniert wie erwartet. Für die Berichterstellung, Prüfung und kontinuierliche Rückmeldung an das gesamte Team bietet das einzigartige Echtzeit-Feedback von Parasoft Benutzern eine kontinuierliche Ansicht des Compliance-Status mit interaktiven Compliance-Dashboards, Widgets zur Risikobewertung und automatisch generierten Berichten für Compliance-Audits.

Screenshot des Parasoft OWASP-Dashboards mit Kreisdiagrammen und Grafiken.

Wie funktioniert es?

Mit dem dotTEST von Parasoft und seinem Sicherheitsangebot, das direkt in die IDE des Entwicklers integriert ist, wird das Entwicklungsteam natürlich die Sicherheit verbessern und am Ende der Pipeline werden weniger Sicherheitslücken gefunden. Die gefundenen Schwachstellen können dann untersucht und eine Ursachenanalyse durchgeführt werden, um die Sicherheitsrichtlinien und -richtlinien anhand der Ergebnisse zu verbessern. Dadurch wird die Effizienz des Einbaus von Sicherheit in die Entwicklung in jedem Zyklus kontinuierlich verbessert.

Entwickler können Parasoft dotTEST verwenden, um ihren Code lokal auf ihrem Computer zu überprüfen, bevor sie sich zur Quellcodeverwaltung verpflichten, um Sicherheitsverletzungen zu erkennen und zu beheben, wenn dies billiger und einfacher ist. Nahtlose Integration in die CI / CD-Pipeline, sodass dieselbe Konfiguration als Teil des Erstellungsprozesses ausgeführt wird. Diese umfassende Analyse geht über den Umfang des lokal geänderten Codes eines Entwicklers hinaus und bietet ein Sicherheitsnetz, um die Bereitstellungspipeline zu steuern und sicherzustellen, dass unsicherer Code nicht in spätere Phasen befördert wird.

Die Ergebnisse der Analyse werden an die IDE eines Entwicklers und an das webbasierte Berichts- und Analyse-Dashboard von Parasoft zurückgesendet. Das Tool verfolgt den Fortschritt, sodass Sie Kurskorrekturen vornehmen und Auditberichte in Echtzeit erstellen können. Manager und Sicherheitsleiter können Projekte anhand von Sicherheitscodierungsstandards bewerten und mithilfe der Dashboards wichtige Fragen beantworten: Verbessert sich das Projekt oder verschlechtert es sich? Welche Bereiche des Codes verursachen die meisten Probleme?

„Mit Parasoft-Lösungen können wir unser Produkt ungefähr sechs Monate früher auf den Markt bringen, als wenn wir zum Testanbieter zurückgekehrt wären. „

Eigenschaften

Definieren Sie einfach eine Codierungsrichtlinie für C # - oder VB.NET-Code basierend auf Industriestandards wie OWASP, CWE Top 25 + On the Cusp, PCI DSS, UL 2900 usw. Parasoft-Prüfer werden benannt und direkt der Standardrichtlinie zugeordnet und erfordern keine zusätzliche Zuordnung, sodass leicht ermittelt werden kann, welcher Prüfer zur Überprüfung einer Richtlinie verwendet werden soll.

Parasoft dotTEST-Benutzer können zusätzlich zum sofort einsatzbereiten Angebot benutzerdefinierte Testkonfigurationen erstellen, die für die Sicherheitsrichtlinien ihres Unternehmens relevant sind. Passen Sie Testkonfigurationen auf den Desktops einzelner Entwickler an - direkt in der IDE oder mit Parasoft DTP für die zentrale Verteilung an das Unternehmen. Dies hilft verschiedenen Teams, dieselben sicheren Codierungsstandards zu befolgen und dieselben Entwicklungsstrategien im gesamten Unternehmen durchzusetzen.

Die Integration von Parasoft dotTEST in Parasoft DTP ermöglicht die Korrelation von Testergebnissen, Codeabdeckung und Sicherheitsverletzungen mit User Stories und Anforderungen. Auf einen Blick kann das Team eine objektive Bewertung der Auswirkungen potenzieller Sicherheitslücken auf die geschäftskritischen User Stories erhalten.

Das zentralisierte Berichtssystem von Parasoft bietet Echtzeit-Einblick in den gesamten Sicherheitsstatus und die Prozesse. Die Berichte enthalten Links zur Dokumentation, damit Entwicklungsteams die Best Practices für die Programmierung verstehen. Mit Verweisen auf Standards wie Common Weakness Enumeration (CWE) können Berichte Verbesserungen skizzieren und dokumentieren, um festzustellen, welche zusätzlichen Maßnahmen zum Schutz der Sicherheit erforderlich sind. Anpassbare Dashboards bieten Ihnen die Flexibilität, Berichte zu erstellen, mit denen Ihr Unternehmen sichere und zuverlässige Anwendungen erstellen kann.

Parasoft findet Sicherheitsmängel und lokalisiert den zugrunde liegenden Quellcode, der die Mängel verursacht, sodass Sie alle Instanzen beseitigen können. Parasoft ermöglicht einen kontinuierlichen Prozess, mit dem Sie sichere Codierungspraktiken proaktiv durchsetzen können. Infolgedessen können Sie Ihre Anwendung kontinuierlich weiterentwickeln, während sich der Code weiterentwickelt.

Profitieren Sie vom Parasoft-Ansatz

Automatisieren Sie die Code-Analyse auf Compliance

Definieren Sie Regelsätze mithilfe Ihrer eigenen benutzerdefinierten Regeln und der über 400 integrierten Regeln, die die Sicherheitsstandards OWASP, CWE Top 25 + On the Cusp, PCI DSS, UL 2900 und mehr abdecken.

Steigern Sie die Produktivität und Softwarequalität

Förderung einer raschen Sanierung. Erkannte Fehler werden basierend auf Ihrer Richtlinie priorisiert, automatisch dem Entwickler zugewiesen, der den zugehörigen Code geschrieben hat, und an die IDE verteilt, mit direkten Links zum Code und einer Beschreibung, wie dieser behoben werden kann. Tiefgreifende nahtlose Integrationen sind mit Open Source-Plattformen, Fehlerverfolgungssystemen, Anforderungsmanagementsystemen, benutzerdefinierten Iterationen und anderen Infrastrukturkomponenten verfügbar.

Erkennen von Sicherheitslücken in der Laufzeit frühzeitig

Die Datenflussanalyse von Parasoft erkennt Laufzeitsicherheitsprobleme, ohne dass die Software ausgeführt werden muss. Dies ermöglicht die frühzeitige und mühelose Erkennung kritischer Laufzeitfehler, deren Suche andernfalls Wochen dauern könnte. Zu den erkannten Fehlern gehören NullReferenceExceptions, ArgumentNullExceptions, Ressourcenlecks, Division durch Null, Dereferenzierung vor der Überprüfung auf Null, SQL-Injektionen, XSS und andere Sicherheitslücken.