Empfohlenes Webinar: MISRA C++ 2023: Alles, was Sie wissen müssen | Zum Video

DISA ASD STIG

Erreichen Sie die DISA ASD STIG-Konformität effizient und sicher

Vereinfachen Sie die DISA ASD STIG-Konformität

Ihr Softwareentwicklungsteam kann die DISA ASD STIG-Konformität mit dem branchenführenden Support von Parasoft für alle Anforderungen vereinfachen. Vom umfassenden Scannen von Anwendungen (OWASP Top 10, Überläufe, Rennbedingungen und Fehlerbehandlung) bis zur Anwendung der Testautomatisierung auf die Anforderungen der STIG-Funktionsüberprüfung.

Die von Grund auf entwickelten Lösungen von Parasoft sind leicht und containerisiert, um die heutigen modernen DoD DevSecOps-Initiativen wie DSOP zu unterstützen.

Was ist DISA ASD STIG?

Die Defense Information Systems Agency (DISA) bietet eine Reihe von STIG-Leitfäden (Security Technical Implementation Guides), die Anleitungen für die sichere Implementierung und Bereitstellung von Anwendungen in DoD-Netzwerken (Department of Defense) enthalten. Der STIG für Anwendungssicherheit und -entwicklung (ASD) umfasst die interne Anwendungsentwicklung und Evaluierung von Anwendungen von Drittanbietern.

Der Zweck ist in der Zusammenfassung angegeben: „Diese Anforderungen sollen Anwendungsentwicklungsprogramm-Manager, Anwendungsdesigner / -entwickler, Informationssystem-Sicherheitsmanager (ISSMs), Informationssystem-Sicherheitsbeauftragte (ISSOs) und Systemadministratoren (SAs) bei der Konfiguration unterstützen und Aufrechterhaltung der Sicherheitskontrollen für ihre Anwendungen.

Durchsetzen von DISA ASD STIG mit Parasoft Solutions

Der ASD STIG verwendet einen Schweregradkategoriecode (CAT I, CAT II und CAT III), um die Richtlinien basierend auf den möglichen Auswirkungen eines Exploits der jeweiligen Richtlinie zu organisieren und zu priorisieren. CAT I enthält die wichtigsten Punkte für Ihr Team, um sich zunächst darauf zu konzentrieren. Die meisten Artikel im ASD STIG fallen in CAT II.

DISA-Kategorien und Verteilung nach Schweregrad

Die Einhaltung der STIG-Anforderungen wird anhand der Produkt- und Prozessdokumentation sowie der Beobachtung und Überprüfung der Funktionalität bewertet. Diese Richtlinien gelten während der gesamten Lebensdauer des Produkts von der Konfiguration über die Bereitstellung, Wartung bis zum Ende der Lebensdauer.

Die Testautomatisierungstools von Parasoft bieten das Scannen von Anwendungen (Penetrationstests oder DAST), das Scannen von Anwendungscodes (statische Code-Analyse oder SAST) und andere Lösungen zur Überprüfung der DISA ASD STIG-Konformität.

Wie Parasoft zur Erreichung der DISA ASD STIG-Konformität beiträgt

Sie können die DISA ASD STIG-Konformität mithilfe von Parasoft-Testlösungen erreichen, die Sicherheitslücken identifizieren, die vom Standard gefordert werden.

Statische Parasoft-Analyse bietet sofort einsatzbereite Unterstützung für OWASP Top 10 durch vorkonfigurierte Einstellungen und spezifische Web-Dashboard-Berichte für C / C ++, Javac und C # /. NET. Die OWASP-Berichterstellung in Parasoft-Tools bietet ein vollständig überprüfbares Compliance-Framework für Projekte. Diese Berichte sind in ein standardspezifisches Dashboard wie das in der obigen Abbildung integrierte integriert.

Überprüfung der Konformität

Der ASD STIG beschreibt Möglichkeiten, um die Einhaltung von Anforderungen wie Anwendungsscannen, Anwendungscode-Scannen, manuelle Überprüfung und Funktionssicherheitstests zu überprüfen. Unsere Tool-Suite bietet das Scannen von Anwendungscode durch statische Analyse - insbesondere die ASD STIG-Anforderung für OWASP Top 10 - sowie Pufferüberläufe, Rennbedingungen und Fehlerbehandlung. Die Verwendung statischer Analysen von Beginn der Entwicklung an verhindert, dass Sicherheitsprobleme überhaupt erst in die Software gelangen.

Überprüfen der API-Anforderungen

Die Überprüfung der API-Anforderungen ist ein Schlüsselbereich der Testautomatisierung, der den ASD STIG-Tests zugute kommt. API-Tests sind mit hoch automatisierbar Parasoft SOAtest. Eine Möglichkeit, diese Sicherheitsanfälligkeit zu testen, besteht darin, in SOAtest einen Test zu erstellen, um SOAP-Nachrichten zu untersuchen und ihre Zeitstempel zu überprüfen. Durch Penetrationstests und Fuzzing von SOAtest können verschiedene Angriffsszenarien für Ihre Funktionstestsuiten generiert und ausgeführt werden.

Anzeigen von Kennzahlen zur Codeabdeckung

Die Codeabdeckung ist ein weiterer wichtiger Aspekt der im ASD STIG aufgeführten Testmethoden. Um einen besseren Überblick darüber zu erhalten, was Sie testen, wie gut Sie es testen und wie Sie Testpläne basierend auf Prioritäten anpassen, Parasoft DTP Erfasst Kennzahlen zur Codeabdeckung aus Testframeworks zur Laufzeit und verknüpft die Abdeckung mit manuellen Tests, automatisierten Funktionstests und Komponententests.

Automatisierung anderer STIG-Regeln

Parasoft bietet einen pragmatischen Ansatz, bei dem sowohl die STIG-Validierung durch statische Code-Analyse als auch vorbeugende Techniken zur Identifizierung und Beseitigung von Schwachstellen im Vordergrund stehen. Durch die vollständige Automatisierung anderer STIG-Regeln mit Funktionstest-Tools werden die mühsamen manuellen Tests zum Stiggen in der CI / CD für DevSecOps-Gruppen reduziert.

Whitepaper mit Bild von Codezeilen rechts
Whitepaper

Vorgehensweise bei der DISA ASD STIG-Konformität für die Softwareentwicklung

Laden Sie unser Whitepaper herunter, um den dreistufigen Ansatz von Parasoft für eine effiziente, sichere und kostengünstige Software-Konformität mit DISA ASD STIG umzusetzen.

Herunterladen