什么是CWE Top 25？

CWE（常見弱點枚舉）列出了800多種編程錯誤、設計錯誤和體系結構錯誤，這些錯誤可能導致可利用的漏洞，而不只是前25名。CWE/SANS前25名最危險的軟件錯誤是一個簡短列表。可能導致嚴重軟件漏洞的最廣泛、最嚴重的錯誤，通常很容易發現和利用。這些是最危險的弱點，因為它們使攻擊者能夠完全控制軟件，竊取軟件數據和信息或完全阻止軟件運行。

通過靜態分析加強CWE合規性

Parasoft已通過CWE兼容認證，這意味著Parasoft用戶可以在配置，修復和報告過程中輕松了解哪個靜態分析檢查器與哪個CWE相關聯。由于采用了Parasoft以CWE為中心的方法，因此您實際上不必做任何特別的事情——只需解決違規并自動生成所需的合規信息即可。 Parasoft還通過將CWE技術影響納入分析中心來協助確定優先級（分類）和審核（抑制）活動。

如右圖所示，Parasoft獨特的實時反饋通過提供交互式合規性儀表板、小部件和報告，使用戶可以連續不斷地查看CWE的合規性，并在儀表板本身內實現了CWE風險評估框架。

Parasoft如何幫助實現CWE合規性

Parasoft用戶可以將Parasoft的靜態代碼分析產品用于C/C++，J ava和.NET，以降低實現CWE合規性的成本并節省時間和精力。

Parasoft通過專用的代碼分析配置支持CWE準則，這些配置映射到標準中概述的最佳實踐。 Parasoft支持Mitre的C，C++，Java和.NET語言的通用弱點枚舉（CWE）——鏈接的PDF顯示了Parasoft的靜態分析規則如何映射到CWE：

• Parasoft對C/C++中的CWE的支持– C/C++test 2020.x

• Parasoft對.NET中的CWE的支持– dotTEST 2020.x

• Parasoft對Java中的CWE的支持– Jtest 2020.x

建立、應用和監視對策略的遵守

Parasoft的策略驅動方法定義了組織對質量的期望，同時確保了一致、不干擾政策的應用。自動化的基礎架構會自動監視策略合規性，以提高可見性和可審計性。

Parasoft開箱即用的CWE映射意味著用戶不必在配置和修復時弄清楚哪些檢查器針對哪些CWE，而用戶在修復時始終會固有地知道正在使用哪個CWE，因為靜態分析檢查器名稱告訴您。

對于審核和報告，Parasoft會準確顯示每個檢查程序涵蓋哪些規則，包括顯示合規計劃和偏差報告的全套PDF文件——但您幾乎不需要合規計劃，因為名稱與CWE相同。

靜態分析之外的安全應用程序開發

安全應用程序開發不僅僅涉及靜態分析。真正安全的應用程序開發要求測試涉及整個SDLC所應用的測試和分析方法的混合，并且還要求在整個流程中集成廣泛的軟件生命周期管理和漏洞/風險管理活動，以確保交付安全可靠的軟件。

Parasoft通過其應用程序安全解決方案滿足了這兩個期望。該集成產品擴展了Parasoft的靜態分析功能，為預配置的系統提供了流程和最佳實踐，可幫助組織一致、高效地生產安全的應用程序。

CWE的即用型靜態分析配置

與其他靜態分析供應商不同，Parasoft提供了現成的策略/測試配置，這些配置是完全可配置的，可以在IDE中通過CI/CD流程執行，以幫助在軟件開發流程的早期階段快速定位漏洞。

監控CWE合規狀態

通過提供交互式合規性儀表板頁面、小部件和報告，Parasoft通過在儀表板自身內部實現了PCI DSS風險評估框架的交互式、合規性儀表板頁面、小部件和報告，提供了新的、獨特的合規狀態視圖。

Parasoft的數據驅動報告系統可幫助您輕松地從可能存在的問題中識別出最重要的問題和信息，同時使您能夠自動從任何Parasoft工具以及其他工具（包括商業工具和開源工具）中進行輸入）。它還具有用于輸入和輸出的開放式REST API，因此您可以輕松地將其集成到構建和開發系統以及用于審計的記錄軟件會計系統中。

白皮書

通過安全編碼標準CWE和CERT實現嵌入式網絡安全

了解有關如何通過基于標準的嚴格開發過程來實現軟件安全性的更多信息。

點擊下載白皮書