簡化DISA ASD STIG的合規性

您的軟件開發團隊可以使用Parasoft滿足所有要求的業界領先支持，簡化對DISA ASD STIG的遵守。從深入的應用程序掃描（發現OWASP Top 10、溢出、競爭情況和錯誤處理）到測試自動化的應用，再到STIG功能驗證要求。

從頭開始設計，Parasoft的解決方案輕巧且具有容器化功能，可支持當今的現代DoD DevSecOps計劃，例如DSOP。

什么是DISA ASD STIG？

國防信息系統局（DISA）提供了各種安全技術實施指南（STIG），為在國防部（DoD）網絡上安全地實施和部署應用程序提供了指南。應用程序安全和開發（ASD）STIG涵蓋內部應用程序開發和第三方應用程序評估。

執行摘要中說明了此目的：“這些要求旨在幫助應用程序開發計劃經理、應用程序設計人員/開發人員、信息系統安全經理（ISSM）、信息系統安全員（ISSO）和系統管理員（SA）進行配置。并維護其應用程序的安全控制。

使用Parasoft解決方案實施DISA ASD STIG

ASD STIG使用嚴重性類別代碼（CAT I，CAT II和CAT III）來根據特定準則的利用可能產生的影響來組織準則并確定其優先級。CAT I包括最關鍵的問題，供您的團隊一開始就專注于他們。ASD STIG中的大多數項目屬于CAT II。

DISA類別和嚴重程度分布

將根據產品和過程文檔以及觀察和驗證功能來評估是否符合STIG要求。這些準則適用于產品的整個生命周期，從配置到部署、維護和壽命終止。

Parasoft的測試自動化工具提供了應用程序掃描（滲透測試或DAST），應用程序代碼掃描（靜態代碼分析或SAST）以及其他解決方案，以幫助驗證DISA ASD STIG的合規性。

Parasoft如何幫助實現DISA ASD STIG合規性

您可以在Parasoft測試解決方案的幫助下實現DISA ASD STIG的合規性，該解決方案可以識別標準所需的安全缺陷。

通過預配置的設置和針對C/C++的特定Web儀表板報告，Parasoft靜態分析為OWASP Top 10提供了現成的支持。Java和C＃/.NET。Parasoft工具中的OWASP報告為項目提供了完全可審核的合規性框架。這些報告已集成到特定于標準的儀表板中，如上圖所示。

驗證合規性

ASD STIG概述了驗證符合要求的方法，例如應用程序掃描、應用程序代碼掃描、手動檢查和功能安全性測試。我們的工具套件通過靜態分析提供應用程序代碼掃描——特別支持OWASP Top 10的ASD STIG要求——以及緩沖區溢出、競爭條件和錯誤處理。從開發開始就使用靜態分析可以防止安全問題首先進入軟件。

驗證API要求

驗證API要求是測試自動化的關鍵領域，這對ASD STIG測試有利。API測試可以使用Parasoft SOAtest高度自動化。測試此漏洞的一種方法是在SOAtest中創建一個測試，以檢查SOAP消息并驗證其時間戳。SOAtest的滲透測試和模糊測試可以針對您的功能測試套件生成并運行各種攻擊方案。

查看代碼覆蓋率指標

代碼覆蓋率是ASD-STIG中列出的測試方法的另一個重要方面。為了更廣泛地了解正在測試的內容，測試的程度以及如何根據優先級自定義測試計劃，Parasoft會在運行時從測試框架中捕獲代碼覆蓋率指標，并將覆蓋率與手動測試、自動功能測試相關聯和單元測試。

自動執行其他STIG規則

Parasoft提供了一種務實的方法，該方法既強調通過靜態代碼分析進行的STIG驗證，又強調預防性技術，以盡可能地識別和消除漏洞。使用功能測試工具將其他STIG規則自動化到最大程度，可以減少在DevSecOps組的CI/CD中進行繁瑣的手動測試。

  白皮書

  如何達到DISA ASD STIG規范進行軟件開發

  下載我們的白皮書，以發揮Parasoft的三個等級方法來實現與DISA ASD STIG的高效、安全和經濟合算的軟件合規性。

點擊下載白皮書