在dotTEST的10.4.1版本中我們引入了重要的增強(qiáng)功能，以幫助開發(fā)組織交付安全可靠的.NET應(yīng)用程序。繼續(xù)閱讀以了解有關(guān)將安全性構(gòu)建到.NET軟件中的更多信息。

正如SANS研究所報(bào)告《2018安全DevOps：事實(shí)還是虛構(gòu)？》中所討論的那樣，許多組織受到隱私和訪問權(quán)限的約束（例如GDPR，PCI，PII），聯(lián)邦法規(guī)和強(qiáng)制性監(jiān)督。有了這些界限，為確保成功的DevSecOps策略，將自動(dòng)化安全測試集成到開發(fā)工作流程中至關(guān)重要：

可以（并且應(yīng)該）將持續(xù)的漏洞掃描嵌入到自動(dòng)構(gòu)建/部署管道中，并進(jìn)行持續(xù)集成和持續(xù)交付，以在問題出現(xiàn)時(shí)立即發(fā)現(xiàn)問題。

——2018安全DevOps：事實(shí)還是虛構(gòu)？

該報(bào)告還強(qiáng)調(diào)指出，超過50％的受訪組織認(rèn)為現(xiàn)有的舊應(yīng)用程序具有風(fēng)險(xiǎn)，占漏洞總數(shù)的14％以上——大量應(yīng)用程序利用.NET（超過30％的受訪者）。

dotTEST的最新版本專注于幫助組織減輕當(dāng)今應(yīng)用程序固有的業(yè)務(wù)風(fēng)險(xiǎn)，通過擴(kuò)展的靜態(tài)分析功能應(yīng)對這些挑戰(zhàn)，并引入新的安全合規(guī)性套件，從而將OWASP，CWE和UL-2900的合規(guī)性報(bào)告引入到.NET開發(fā)團(tuán)隊(duì)。

擴(kuò)展了對安全標(biāo)準(zhǔn)的支持

該版本擴(kuò)展了Parasoft對最重要的.NET安全標(biāo)準(zhǔn)的支持，并全面支持OWASP Top 10和對業(yè)界CWE的最廣泛支持。這項(xiàng)全面的支持使團(tuán)隊(duì)能夠?qū)踩约{入其軟件質(zhì)量流程中，可以在Visual Studio中直接執(zhí)行深度代碼分析，還可以通過命令行界面和CI插件（適用于Jenkins，Bamboo，TeamCity和Azure DevOps）。

例如，以OWASP Top 10為例，Parasoft的全面支持可通過從開發(fā)開始到整個(gè)軟件生命周期通過以下方式加強(qiáng)安全性，幫助用戶實(shí)現(xiàn)建議的合規(guī)性：

• 完全可配置的即用型策略/測試配置。
• 從IDE內(nèi)部執(zhí)行并通過CI/CD流程執(zhí)行，以幫助在SDLC的較早位置快速找到漏洞。
• 有關(guān)如何使用支持的文檔和培訓(xùn)材料來修復(fù)漏洞的指南。
• 實(shí)施OWASP風(fēng)險(xiǎn)評估框架的合規(guī)性儀表板、小部件和報(bào)告。
• 應(yīng)用程序漏洞關(guān)聯(lián)（AVC）和實(shí)時(shí)合規(guī)性指標(biāo)，顯示您在實(shí)現(xiàn)與OWASP的合規(guī)方面做得如何。

如果您的團(tuán)隊(duì)希望在CWE Top 25中獲得安全指導(dǎo)，那么Prasoft的策略驅(qū)動(dòng)方法可幫助您的組織實(shí)現(xiàn)安全目標(biāo)，同時(shí)確保一致，不干擾策略的應(yīng)用。自動(dòng)化的基礎(chǔ)架構(gòu)會(huì)自動(dòng)監(jiān)視策略合規(guī)性，以提高可見性和可審計(jì)性。

與我們對OWASP Top 10的支持一致，Parasoft開箱即用的CWE映射意味著用戶不必浪費(fèi)時(shí)間來嘗試在配置和修復(fù)時(shí)找出哪些CWE對應(yīng)的檢查器。天生就知道正在處理哪個(gè)CWE，因?yàn)殪o態(tài)分析檢查器名稱會(huì)告訴您。

報(bào)告以證明合規(guī)

除了新的規(guī)則和配置，安全合規(guī)性軟件包還包括針對OWASP和CWE的新合規(guī)性報(bào)告，其中包括：

1. 合規(guī)概述——提供針對每個(gè)漏洞的合規(guī)狀態(tài)的摘要。
2. 弱點(diǎn)檢測計(jì)劃——提供一個(gè)可配置的框架，用于將靜態(tài)分析違規(guī)分配給特定弱點(diǎn)。
3. 偏差報(bào)告——提供詳細(xì)的報(bào)告，以審核違規(guī)異常（即抑制）。

OWASP合規(guī)報(bào)告示例

儀表板和工作流程，以促進(jìn)實(shí)現(xiàn)合規(guī)性

該安全合規(guī)性包還引入了新的OWASP和CWE特定的儀表板和小部件，可幫助組織簡化有效實(shí)現(xiàn)（和維護(hù)）合規(guī)性的過程。通過將靜態(tài)分析違規(guī)映射到OWASP的風(fēng)險(xiǎn)評分和CWE的技術(shù)影響與開發(fā)概念，組織可以了解與標(biāo)準(zhǔn)相關(guān)的風(fēng)險(xiǎn)級別以及確切的風(fēng)險(xiǎn)所在。Parasoft還提供了簡化的工作流，以對違規(guī)行為進(jìn)行導(dǎo)航并確定優(yōu)先級，以確保團(tuán)隊(duì)最有效地工作。

按風(fēng)險(xiǎn)分類顯示OWASP合規(guī)性和違規(guī)的小部件

顯示按開發(fā)概念和技術(shù)影響分類的CWE合規(guī)性和違規(guī)性的小部件

總結(jié)

當(dāng)今許多企業(yè)系統(tǒng)都是基于.NET平臺(tái)構(gòu)建的，因此，對于確保應(yīng)用程序的可靠性和安全性對于企業(yè)成功而言至關(guān)重要。Parasoft dotTEST的最新版本引入了幫助.NET開發(fā)團(tuán)隊(duì)確保其應(yīng)用程序可靠安全所需的關(guān)鍵功能。