什么是CWE Top 25？

CWE（常见弱点枚举）列出了800多种编程错误、设计错误和体系结构错误，这些错误可能导致可利用的漏洞，而不只是前25名。CWE/SANS前25名最危险的软件错误是一个简短列表。可能导致严重软件漏洞的最广泛、最严重的错误，通常很容易发现和利用。这些是最危险的弱点，因为它们使攻击者能够完全控制软件，窃取软件数据和信息或完全阻止软件运行。

通过静态分析加强CWE合规性

Parasoft已通过CWE兼容认证，这意味着Parasoft用户可以在配置，修复和报告过程中轻松了解哪个静态分析检查器与哪个CWE相关联。由于采用了Parasoft以CWE为中心的方法，因此您实际上不必做任何特别的事情——只需解决违规并自动生成所需的合规信息即可。 Parasoft还通过将CWE技术影响纳入分析中心来协助确定优先级（分类）和审核（抑制）活动。

如右图所示，Parasoft独特的实时反馈通过提供交互式合规性仪表板、小部件和报告，使用户可以连续不断地查看CWE的合规性，并在仪表板本身内实现了CWE风险评估框架。

Parasoft如何帮助实现CWE合规性

Parasoft用户可以将Parasoft的静态代码分析产品用于C/C++，J ava和.NET，以降低实现CWE合规性的成本并节省时间和精力。

Parasoft通过专用的代码分析配置支持CWE准则，这些配置映射到标准中概述的最佳实践。 Parasoft支持Mitre的C，C++，Java和.NET语言的通用弱点枚举（CWE）——链接的PDF显示了Parasoft的静态分析规则如何映射到CWE：

• Parasoft对C/C++中的CWE的支持– C/C++test 2020.x

• Parasoft对.NET中的CWE的支持– dotTEST 2020.x

• Parasoft对Java中的CWE的支持– Jtest 2020.x

建立、应用和监视对策略的遵守

Parasoft的策略驱动方法定义了组织对质量的期望，同时确保了一致、不干扰政策的应用。自动化的基础架构会自动监视策略合规性，以提高可见性和可审计性。

Parasoft开箱即用的CWE映射意味着用户不必在配置和修复时弄清楚哪些检查器针对哪些CWE，而用户在修复时始终会固有地知道正在使用哪个CWE，因为静态分析检查器名称告诉您。

对于审核和报告，Parasoft会准确显示每个检查程序涵盖哪些规则，包括显示合规计划和偏差报告的全套PDF文件——但您几乎不需要合规计划，因为名称与CWE相同。

静态分析之外的安全应用程序开发

安全应用程序开发不仅仅涉及静态分析。真正安全的应用程序开发要求测试涉及整个SDLC所应用的测试和分析方法的混合，并且还要求在整个流程中集成广泛的软件生命周期管理和漏洞/风险管理活动，以确保交付安全可靠的软件。

Parasoft通过其应用程序安全解决方案满足了这两个期望。该集成产品扩展了Parasoft的静态分析功能，为预配置的系统提供了流程和最佳实践，可帮助组织一致、高效地生产安全的应用程序。

CWE的即用型静态分析配置

与其他静态分析供应商不同，Parasoft提供了现成的策略/测试配置，这些配置是完全可配置的，可以在IDE中通过CI/CD流程执行，以帮助在软件开发流程的早期阶段快速定位漏洞。

监控CWE合规状态

通过提供交互式合规性仪表板页面、小部件和报告，Parasoft通过在仪表板自身内部实现了PCI DSS风险评估框架的交互式、合规性仪表板页面、小部件和报告，提供了新的、独特的合规状态视图。

Parasoft的数据驱动报告系统可帮助您轻松地从可能存在的问题中识别出最重要的问题和信息，同时使您能够自动从任何Parasoft工具以及其他工具（包括商业工具和开源工具）中进行输入）。它还具有用于输入和输出的开放式REST API，因此您可以轻松地将其集成到构建和开发系统以及用于审计的记录软件会计系统中。

白皮书

通过安全编码标准CWE和CERT实现嵌入式网络安全

了解有关如何通过基于标准的严格开发过程来实现软件安全性的更多信息。

点击下载白皮书