DISA ASD STIG包括國防信息系統(tǒng)局（DISA）、應(yīng)用程序安全與開發(fā)（ASD）和安全技術(shù)實(shí)施指南（STIG）。它們是國防部使用的一系列保護(hù)臺式機(jī)和企業(yè)應(yīng)用程序安全的準(zhǔn)則。有很多STIGS用于保護(hù)DoD基礎(chǔ)設(shè)施和服務(wù)的不同部分，但是，ASD指南涵蓋內(nèi)部應(yīng)用程序開發(fā)和第三方應(yīng)用程序評估。

要達(dá)到對DISA ASD STIG指南的要求，通常需要以證明文件的形式證明審核員滿意。這篇文章涵蓋：

• Parasoft推薦的一種有效、低風(fēng)險且具有成本效益的方式來實(shí)現(xiàn)合規(guī)性。
• 指定使用應(yīng)用程序掃描程序或應(yīng)用程序代碼掃描程序的需求，團(tuán)隊(duì)可以使用靜態(tài)分析工具進(jìn)行驗(yàn)證。

軟件開發(fā)合規(guī)性的三級方法

為了實(shí)現(xiàn)合規(guī)性，需要一種三級驗(yàn)證方法：

• 應(yīng)用程序代碼掃描使用靜態(tài)分析工具檢測漏洞，以確保對應(yīng)用程序進(jìn)行修復(fù)。ASD STIG對于要檢測和修復(fù)的漏洞類別有特定的準(zhǔn)則。

• 使用功能和滲透測試工具進(jìn)行的安全性系統(tǒng)測試可驗(yàn)證和驗(yàn)證DISA ASD STIG要求。有關(guān)更多信息，請參見DISA ASD STIG中功能測試自動化的作用。

• 左移遵循預(yù)防性流程可以消除導(dǎo)致漏洞的不良編碼實(shí)踐。廣泛的檢測范圍包括應(yīng)用程序掃描和行業(yè)編碼標(biāo)準(zhǔn)（例如CWE或CERT安全編碼）的應(yīng)用。它還包括消除“代碼異味”之類的準(zhǔn)則，這些準(zhǔn)則是眾所周知的不良做法，是導(dǎo)致軟件安全漏洞的根本原因。

這種1-2-3打孔是通過驗(yàn)證和記錄文件實(shí)現(xiàn)合規(guī)性的關(guān)鍵。目標(biāo)是使過程變得成熟，從發(fā)現(xiàn)到預(yù)防安全漏洞。

符合DISA ASD STIG意味著什么？

ASD STIG使用嚴(yán)重性類別代碼（CAT I，CAT II，CAT III）根據(jù)準(zhǔn)則被利用的可能影響來組織準(zhǔn)則并確定其優(yōu)先級。

評估產(chǎn)品和過程文檔以及根據(jù)準(zhǔn)則觀察和驗(yàn)證功能可確定合規(guī)性。換句話說，STIG要求通過軟件開發(fā)生命周期各個方面的文檔，驗(yàn)證和確認(rèn)來進(jìn)行安全設(shè)計和實(shí)施的證據(jù)。這包括部署和操作。這些準(zhǔn)則適用于產(chǎn)品的整個生命周期，包括配置、部署、維護(hù)和壽命終止。

靜態(tài)應(yīng)用程序安全性測試

對于本文的討論而言，重要的是對應(yīng)用程序代碼掃描器的要求：

“……一種自動化工具，可以分析應(yīng)用程序源代碼中的安全漏洞、惡意代碼和后門。” — DISA ASD STIG概述，第4.1節(jié)

在更常用的術(shù)語中，這是通過靜態(tài)代碼分析實(shí)現(xiàn)的靜態(tài)應(yīng)用程序安全測試（SAST）。“應(yīng)盡可能利用它。特別是在開發(fā)環(huán)境中，可以在發(fā)布之前解決已確定為需要補(bǔ)救的代碼。”ASD STIG還包含以下指導(dǎo)：

“應(yīng)用程序掃描程序可用于測試開發(fā)或生產(chǎn)應(yīng)用程序系統(tǒng)是否存在由于應(yīng)用程序代碼錯誤或應(yīng)用程序系統(tǒng)配置錯誤而導(dǎo)致的安全漏洞。這些漏洞包括SQL注入、代碼注入、跨站點(diǎn)腳本（XSS）、文件泄露、權(quán)限以及可在網(wǎng)絡(luò)可訪問的應(yīng)用程序中找到的其他安全漏洞。” — DISA ASD STIG概述，第4.2節(jié)–應(yīng)用程序掃描程序

ASD STIG要求使用活動的漏洞測試（例如，筆測試工具）來測試可執(zhí)行軟件。在開發(fā)和部署期間需要這些工具來支持漏洞評估。

DISA ASD STIG驗(yàn)證方法

ASD STIG概述了驗(yàn)證符合要求的方法，包括：

• 應(yīng)用程序代碼和應(yīng)用程序掃描

• 人工審核

• 功能安全測試

團(tuán)隊(duì)使用SAST工具報告和審核來驗(yàn)證應(yīng)用程序和代碼掃描。功能測試正在使用自動化工具或手動測試來驗(yàn)證該軟件中不存在該漏洞。換句話說，將這種方法視為“做某事，檢查某件事”。例如，檢查操作是否正常運(yùn)行，并在必要時進(jìn)行了記錄）。這些方法適用于自動化測試，因?yàn)樗峁┝诵屎蛯徍烁櫣ぞ摺?/span>

實(shí)用的DISA ASD STIG靜態(tài)分析工具合規(guī)方法

要求DISA ASD STIG的DoD進(jìn)行軟件開發(fā)的現(xiàn)實(shí)情況是，您必須測試所有要求和漏洞。這可能是一項(xiàng)艱巨的任務(wù)，但是自動化可以減輕一些負(fù)擔(dān)。

Parasoft關(guān)于如何遵循DISA ASD STIG的建議是在最有意義的地方利用自動化，例如CI/CD管道或DevSecOps流程。目標(biāo)是減輕合規(guī)性負(fù)擔(dān)，但也要使用先發(fā)制人的技術(shù)來防止漏洞。與開發(fā)期間相比，在軟件即將完成時檢測和修復(fù)漏洞更加昂貴且耗時。因此，Parasoft的方法是在生命周期的較早階段左移漏洞評估、檢測和修復(fù)。

通過靜態(tài)分析滿足DISA ASD STIG應(yīng)用程序掃描要求

DISA ASD STIG使用術(shù)語“應(yīng)用程序掃描”，該術(shù)語等同于靜態(tài)代碼分析和相關(guān)技術(shù)，例如軟件組成分析。除了通過靜態(tài)代碼分析進(jìn)行漏洞評估的一般要求之外，還有一些特定要求來掃描特定漏洞，例如：

• OWASP Top 10（V-69513）

• 溢出（V-70277）

• 比賽條件（V-70185）

• 錯誤處理（V-70391）

盡管這看起來像是一小組漏洞，但實(shí)際情況是這轉(zhuǎn)化為許多相關(guān)的軟件漏洞。例如，OWASP（開放Web應(yīng)用程序安全性項(xiàng)目）的前10名轉(zhuǎn)化為超過50個CWE。每個都有多個相關(guān)的弱點(diǎn)。

盡管這是特定于合規(guī)性的漏洞集，但還是要考慮廣泛地檢測一系列漏洞。此外，重要的是，團(tuán)隊(duì)必須將注意力集中在DISA ASD STIG的指南之外，以包括預(yù)防性指南，例如常見的行業(yè)安全編碼標(biāo)準(zhǔn)中所包含的那些。

顧名思義，OWASP Top 10是致力于提高Web應(yīng)用程序安全性的組織。他們的OWASP Top 10項(xiàng)目提供了最常見和影響最大的Web應(yīng)用程序安全漏洞的列表。

與SCA工具集成

雖然可以使用靜態(tài)分析工具來檢測大多數(shù)問題，但有些問題無法進(jìn)行靜態(tài)分析。避免具有已知漏洞的軟件的準(zhǔn)則與軟件組成分析（SCA）有關(guān)。Parasoft通過將SCA工具與我們的靜態(tài)分析輸出集成到單個報告中來支持這一點(diǎn)，從而全面涵蓋了前10名。

通過預(yù)配置設(shè)置和針對C/C++，Java和C＃/.NET的特定Web儀表板報告，Parasoft靜態(tài)分析為OWASP Top 10提供了開箱即用的支持。Parasoft工具中的OWASP報告為項(xiàng)目提供了完全可審核的合規(guī)性框架。這些報告集成到特定于標(biāo)準(zhǔn)的儀表板中，例如下面的DISA ASD STIG儀表板。

Parasoft DISA ASD STIG儀表板

Parasoft實(shí)施了所有主要的應(yīng)用程序安全標(biāo)準(zhǔn)，例如SEI CERT安全編碼，CWE（通用弱點(diǎn)枚舉）編碼準(zhǔn)則，UL 2900和OWASP，以及每個標(biāo)準(zhǔn)的安全性專用儀表板。這可以幫助用戶了解未解決的違規(guī)/漏洞/安全缺陷的風(fēng)險和優(yōu)先級。

安全重點(diǎn)報告

 合規(guī)報告可按需提供。合規(guī)性標(biāo)準(zhǔn)非常靈活，并且特定于團(tuán)隊(duì)的項(xiàng)目和代碼庫。開發(fā)人員可以根據(jù)嚴(yán)重性、風(fēng)險、影響、代碼使用年限、組件的重要性等來制定策略。他們可以使用它們輕松地指導(dǎo)開發(fā)并向?qū)徍藛T顯示努力。

Parasoft OWASP十大合規(guī)性報告

靜態(tài)分析工具的關(guān)鍵方面之一是報告和分析功能。項(xiàng)目會在警告方面創(chuàng)建大量數(shù)據(jù)，并且會逐個生成倍增。數(shù)據(jù)管理對于靜態(tài)分析工具的成功采用和投資回報至關(guān)重要。

為每個編碼標(biāo)準(zhǔn)和安全性準(zhǔn)則調(diào)整的儀表板、報告和一致性至關(guān)重要。Parasoft分析利用行業(yè)標(biāo)準(zhǔn)的風(fēng)險模型以及多種人工智能（AI）和機(jī)器學(xué)習(xí)（ML）技術(shù)來確定安全警告的優(yōu)先級，并幫助開發(fā)人員專注于影響最大的最關(guān)鍵問題。

總結(jié)

DISA ASD STIG提出了一系列艱巨的要求，以確保國防部應(yīng)用程序的軟件安全。有多種方法可以證明符合STIG中概述的規(guī)則。常用方法包括：

• 文件審核

• 來自靜態(tài)分析儀等工具的報告

• 必要時手動調(diào)查應(yīng)用程序日志

STIG概述了自動化機(jī)會的關(guān)鍵領(lǐng)域，例如應(yīng)用程序代碼和應(yīng)用程序掃描。靜態(tài)分析有助于實(shí)現(xiàn)其中一些目標(biāo)。

務(wù)實(shí)的方法可減輕合規(guī)性負(fù)擔(dān)，并鼓勵采取預(yù)防措施，以在項(xiàng)目生命周期的早期消除漏洞。 Parasoft的靜態(tài)分析可及早發(fā)現(xiàn)漏洞。此解決方案可強(qiáng)制執(zhí)行代碼樣式和質(zhì)量，以盡早防止不良的安全做法。

在我們的白皮書中詳細(xì)了解測試自動化的作用，工具的必需方面以及實(shí)現(xiàn)DISA ASD STIG的實(shí)用方法。