在dotTEST的10.4.1版本中我們引入了重要的增強功能，以幫助開發組織交付安全可靠的.NET應用程序。繼續閱讀以了解有關將安全性構建到.NET軟件中的更多信息。

正如SANS研究所報告《2018安全DevOps：事實還是虛構？》中所討論的那樣，許多組織受到隱私和訪問權限的約束（例如GDPR，PCI，PII），聯邦法規和強制性監督。有了這些界限，為確保成功的DevSecOps策略，將自動化安全測試集成到開發工作流程中至關重要：

可以（并且應該）將持續的漏洞掃描嵌入到自動構建/部署管道中，并進行持續集成和持續交付，以在問題出現時立即發現問題。

——2018安全DevOps：事實還是虛構？

該報告還強調指出，超過50％的受訪組織認為現有的舊應用程序具有風險，占漏洞總數的14％以上——大量應用程序利用.NET（超過30％的受訪者）。

dotTEST的最新版本專注于幫助組織減輕當今應用程序固有的業務風險，通過擴展的靜態分析功能應對這些挑戰，并引入新的安全合規性套件，從而將OWASP，CWE和UL-2900的合規性報告引入到.NET開發團隊。

擴展了對安全標準的支持

該版本擴展了Parasoft對最重要的.NET安全標準的支持，并全面支持OWASP Top 10和對業界CWE的最廣泛支持。這項全面的支持使團隊能夠將安全性納入其軟件質量流程中，可以在Visual Studio中直接執行深度代碼分析，還可以通過命令行界面和CI插件（適用于Jenkins，Bamboo，TeamCity和Azure DevOps）。

例如，以OWASP Top 10為例，Parasoft的全面支持可通過從開發開始到整個軟件生命周期通過以下方式加強安全性，幫助用戶實現建議的合規性：

• 完全可配置的即用型策略/測試配置。
• 從IDE內部執行并通過CI/CD流程執行，以幫助在SDLC的較早位置快速找到漏洞。
• 有關如何使用支持的文檔和培訓材料來修復漏洞的指南。
• 實施OWASP風險評估框架的合規性儀表板、小部件和報告。
• 應用程序漏洞關聯（AVC）和實時合規性指標，顯示您在實現與OWASP的合規方面做得如何。

如果您的團隊希望在CWE Top 25中獲得安全指導，那么Prasoft的策略驅動方法可幫助您的組織實現安全目標，同時確保一致，不干擾策略的應用。自動化的基礎架構會自動監視策略合規性，以提高可見性和可審計性。

與我們對OWASP Top 10的支持一致，Parasoft開箱即用的CWE映射意味著用戶不必浪費時間來嘗試在配置和修復時找出哪些CWE對應的檢查器。天生就知道正在處理哪個CWE，因為靜態分析檢查器名稱會告訴您。

報告以證明合規

除了新的規則和配置，安全合規性軟件包還包括針對OWASP和CWE的新合規性報告，其中包括：

1. 合規概述——提供針對每個漏洞的合規狀態的摘要。
2. 弱點檢測計劃——提供一個可配置的框架，用于將靜態分析違規分配給特定弱點。
3. 偏差報告——提供詳細的報告，以審核違規異常（即抑制）。

OWASP合規報告示例

儀表板和工作流程，以促進實現合規性

該安全合規性包還引入了新的OWASP和CWE特定的儀表板和小部件，可幫助組織簡化有效實現（和維護）合規性的過程。通過將靜態分析違規映射到OWASP的風險評分和CWE的技術影響與開發概念，組織可以了解與標準相關的風險級別以及確切的風險所在。Parasoft還提供了簡化的工作流，以對違規行為進行導航并確定優先級，以確保團隊最有效地工作。

按風險分類顯示OWASP合規性和違規的小部件

顯示按開發概念和技術影響分類的CWE合規性和違規性的小部件

總結

當今許多企業系統都是基于.NET平臺構建的，因此，對于確保應用程序的可靠性和安全性對于企業成功而言至關重要。Parasoft dotTEST的最新版本引入了幫助.NET開發團隊確保其應用程序可靠安全所需的關鍵功能。