簡化DISA ASD STIG的合規(guī)性

您的軟件開發(fā)團(tuán)隊(duì)可以使用Parasoft滿足所有要求的業(yè)界領(lǐng)先支持，簡化對(duì)DISA ASD STIG的遵守。從深入的應(yīng)用程序掃描（發(fā)現(xiàn)OWASP Top 10、溢出、競爭情況和錯(cuò)誤處理）到測試自動(dòng)化的應(yīng)用，再到STIG功能驗(yàn)證要求。

從頭開始設(shè)計(jì)，Parasoft的解決方案輕巧且具有容器化功能，可支持當(dāng)今的現(xiàn)代DoD DevSecOps計(jì)劃，例如DSOP。

什么是DISA ASD STIG？

國防信息系統(tǒng)局（DISA）提供了各種安全技術(shù)實(shí)施指南（STIG），為在國防部（DoD）網(wǎng)絡(luò)上安全地實(shí)施和部署應(yīng)用程序提供了指南。應(yīng)用程序安全和開發(fā)（ASD）STIG涵蓋內(nèi)部應(yīng)用程序開發(fā)和第三方應(yīng)用程序評(píng)估。

執(zhí)行摘要中說明了此目的：“這些要求旨在幫助應(yīng)用程序開發(fā)計(jì)劃經(jīng)理、應(yīng)用程序設(shè)計(jì)人員/開發(fā)人員、信息系統(tǒng)安全經(jīng)理（ISSM）、信息系統(tǒng)安全員（ISSO）和系統(tǒng)管理員（SA）進(jìn)行配置。并維護(hù)其應(yīng)用程序的安全控制。

使用Parasoft解決方案實(shí)施DISA ASD STIG

ASD STIG使用嚴(yán)重性類別代碼（CAT I，CAT II和CAT III）來根據(jù)特定準(zhǔn)則的利用可能產(chǎn)生的影響來組織準(zhǔn)則并確定其優(yōu)先級(jí)。CAT I包括最關(guān)鍵的問題，供您的團(tuán)隊(duì)一開始就專注于他們。ASD STIG中的大多數(shù)項(xiàng)目屬于CAT II。

DISA類別和嚴(yán)重程度分布

將根據(jù)產(chǎn)品和過程文檔以及觀察和驗(yàn)證功能來評(píng)估是否符合STIG要求。這些準(zhǔn)則適用于產(chǎn)品的整個(gè)生命周期，從配置到部署、維護(hù)和壽命終止。

Parasoft的測試自動(dòng)化工具提供了應(yīng)用程序掃描（滲透測試或DAST），應(yīng)用程序代碼掃描（靜態(tài)代碼分析或SAST）以及其他解決方案，以幫助驗(yàn)證DISA ASD STIG的合規(guī)性。

Parasoft如何幫助實(shí)現(xiàn)DISA ASD STIG合規(guī)性

您可以在Parasoft測試解決方案的幫助下實(shí)現(xiàn)DISA ASD STIG的合規(guī)性，該解決方案可以識(shí)別標(biāo)準(zhǔn)所需的安全缺陷。

通過預(yù)配置的設(shè)置和針對(duì)C/C++的特定Web儀表板報(bào)告，Parasoft靜態(tài)分析為OWASP Top 10提供了現(xiàn)成的支持。Java和C＃/.NET。Parasoft工具中的OWASP報(bào)告為項(xiàng)目提供了完全可審核的合規(guī)性框架。這些報(bào)告已集成到特定于標(biāo)準(zhǔn)的儀表板中，如上圖所示。

驗(yàn)證合規(guī)性

ASD STIG概述了驗(yàn)證符合要求的方法，例如應(yīng)用程序掃描、應(yīng)用程序代碼掃描、手動(dòng)檢查和功能安全性測試。我們的工具套件通過靜態(tài)分析提供應(yīng)用程序代碼掃描——特別支持OWASP Top 10的ASD STIG要求——以及緩沖區(qū)溢出、競爭條件和錯(cuò)誤處理。從開發(fā)開始就使用靜態(tài)分析可以防止安全問題首先進(jìn)入軟件。

驗(yàn)證API要求

驗(yàn)證API要求是測試自動(dòng)化的關(guān)鍵領(lǐng)域，這對(duì)ASD STIG測試有利。API測試可以使用Parasoft SOAtest高度自動(dòng)化。測試此漏洞的一種方法是在SOAtest中創(chuàng)建一個(gè)測試，以檢查SOAP消息并驗(yàn)證其時(shí)間戳。SOAtest的滲透測試和模糊測試可以針對(duì)您的功能測試套件生成并運(yùn)行各種攻擊方案。

查看代碼覆蓋率指標(biāo)

代碼覆蓋率是ASD-STIG中列出的測試方法的另一個(gè)重要方面。為了更廣泛地了解正在測試的內(nèi)容，測試的程度以及如何根據(jù)優(yōu)先級(jí)自定義測試計(jì)劃，Parasoft會(huì)在運(yùn)行時(shí)從測試框架中捕獲代碼覆蓋率指標(biāo)，并將覆蓋率與手動(dòng)測試、自動(dòng)功能測試相關(guān)聯(lián)和單元測試。

自動(dòng)執(zhí)行其他STIG規(guī)則

Parasoft提供了一種務(wù)實(shí)的方法，該方法既強(qiáng)調(diào)通過靜態(tài)代碼分析進(jìn)行的STIG驗(yàn)證，又強(qiáng)調(diào)預(yù)防性技術(shù)，以盡可能地識(shí)別和消除漏洞。使用功能測試工具將其他STIG規(guī)則自動(dòng)化到最大程度，可以減少在DevSecOps組的CI/CD中進(jìn)行繁瑣的手動(dòng)測試。

  白皮書

  如何達(dá)到DISA ASD STIG規(guī)范進(jìn)行軟件開發(fā)

  下載我們的白皮書，以發(fā)揮Parasoft的三個(gè)等級(jí)方法來實(shí)現(xiàn)與DISA ASD STIG的高效、安全和經(jīng)濟(jì)合算的軟件合規(guī)性。

點(diǎn)擊下載白皮書