行业认证标准:如何达到DISA ASD STIG规范进行软件开发
简化DISA ASD STIG的合规性
您的软件开发团队可以使用Parasoft满足所有要求的业界领先支持,简化对DISA ASD STIG的遵守。从深入的应用程序扫描(发现OWASP Top 10、溢出、竞争情况和错误处理)到测试自动化的应用,再到STIG功能验证要求。
从头开始设计,Parasoft的解决方案轻巧且具有容器化功能,可支持当今的现代DoD DevSecOps计划,例如DSOP。
什么是DISA ASD STIG?
国防信息系统局(DISA)提供了各种安全技术实施指南(STIG),为在国防部(DoD)网络上安全地实施和部署应用程序提供了指南。应用程序安全和开发(ASD)STIG涵盖内部应用程序开发和第三方应用程序评估。
执行摘要中说明了此目的:“这些要求旨在帮助应用程序开发计划经理、应用程序设计人员/开发人员、信息系统安全经理(ISSM)、信息系统安全员(ISSO)和系统管理员(SA)进行配置。并维护其应用程序的安全控制。
使用Parasoft解决方案实施DISA ASD STIG
ASD STIG使用严重性类别代码(CAT I,CAT II和CAT III)来根据特定准则的利用可能产生的影响来组织准则并确定其优先级。CAT I包括最关键的问题,供您的团队一开始就专注于他们。ASD STIG中的大多数项目属于CAT II。
DISA 类别和严重程度分布
将根据产品和过程文档以及观察和验证功能来评估是否符合STIG要求。这些准则适用于产品的整个生命周期,从配置到部署、维护和寿命终止。
Parasoft的测试自动化工具提供了应用程序扫描(渗透测试或DAST),应用程序代码扫描(静态代码分析或SAST)以及其他解决方案,以帮助验证DISA ASD STIG的合规性。
Parasoft如何帮助实现DISA ASD STIG合规性
您可以在Parasoft测试解决方案的帮助下实现DISA ASD STIG的合规性,该解决方案可以识别标准所需的安全缺陷。
通过预配置的设置和针对C/C++的特定Web仪表板报告,Parasoft静态分析为OWASP Top 10提供了现成的支持。Java和C#/.NET。Parasoft工具中的OWASP报告为项目提供了完全可审核的合规性框架。这些报告已集成到特定于标准的仪表板中,如上图所示。
验证合规性
ASD STIG概述了验证符合要求的方法,例如应用程序扫描、应用程序代码扫描、手动检查和功能安全性测试。我们的工具套件通过静态分析提供应用程序代码扫描——特别支持OWASP Top 10的ASD STIG要求——以及缓冲区溢出、竞争条件和错误处理。从开发开始就使用静态分析可以防止安全问题首先进入软件。
验证API要求
验证API要求是测试自动化的关键领域,这对ASD STIG测试有利。API测试可以使用Parasoft SOAtest高度自动化。测试此漏洞的一种方法是在SOAtest中创建一个测试,以检查SOAP消息并验证其时间戳。SOAtest的渗透测试和模糊测试可以针对您的功能测试套件生成并运行各种攻击方案。
查看代码覆盖率指标
代码覆盖率是ASD-STIG中列出的测试方法的另一个重要方面。为了更广泛地了解正在测试的内容,测试的程度以及如何根据优先级自定义测试计划,Parasoft会在运行时从测试框架中捕获代码覆盖率指标,并将覆盖率与手动测试、自动功能测试相关联和单元测试。
自动执行其他STIG规则
Parasoft提供了一种务实的方法,该方法既强调通过静态代码分析进行的STIG验证,又强调预防性技术,以尽可能地识别和消除漏洞。使用功能测试工具将其他STIG规则自动化到最大程度,可以减少在DevSecOps组的CI/CD中进行繁琐的手动测试。
白皮书
如何达到DISA ASD STIG规范进行软件开发
下载我们的白皮书,以发挥Parasoft的三个等级方法来实现与DISA ASD STIG的高效、安全和经济合算的软件合规性。