DISA ASD STIG包括國防信息系統(tǒng)局（DISA）、應用程序安全與開發(fā)（ASD）和安全技術實施指南（STIG）。它們是國防部使用的一系列保護臺式機和企業(yè)應用程序安全的準則。有很多STIGS用于保護DoD基礎設施和服務的不同部分，但是，ASD指南涵蓋內(nèi)部應用程序開發(fā)和第三方應用程序評估。

要達到對DISA ASD STIG指南的要求，通常需要以證明文件的形式證明審核員滿意。這篇文章涵蓋：

• Parasoft推薦的一種有效、低風險且具有成本效益的方式來實現(xiàn)合規(guī)性。
• 指定使用應用程序掃描程序或應用程序代碼掃描程序的需求，團隊可以使用靜態(tài)分析工具進行驗證。

軟件開發(fā)合規(guī)性的三級方法

為了實現(xiàn)合規(guī)性，需要一種三級驗證方法：

• 應用程序代碼掃描使用靜態(tài)分析工具檢測漏洞，以確保對應用程序進行修復。ASD STIG對于要檢測和修復的漏洞類別有特定的準則。

• 使用功能和滲透測試工具進行的安全性系統(tǒng)測試可驗證和驗證DISA ASD STIG要求。有關更多信息，請參見DISA ASD STIG中功能測試自動化的作用。

• 左移遵循預防性流程可以消除導致漏洞的不良編碼實踐。廣泛的檢測范圍包括應用程序掃描和行業(yè)編碼標準（例如CWE或CERT安全編碼）的應用。它還包括消除“代碼異味”之類的準則，這些準則是眾所周知的不良做法，是導致軟件安全漏洞的根本原因。

這種1-2-3打孔是通過驗證和記錄文件實現(xiàn)合規(guī)性的關鍵。目標是使過程變得成熟，從發(fā)現(xiàn)到預防安全漏洞。

符合DISA ASD STIG意味著什么？

ASD STIG使用嚴重性類別代碼（CAT I，CAT II，CAT III）根據(jù)準則被利用的可能影響來組織準則并確定其優(yōu)先級。

評估產(chǎn)品和過程文檔以及根據(jù)準則觀察和驗證功能可確定合規(guī)性。換句話說，STIG要求通過軟件開發(fā)生命周期各個方面的文檔，驗證和確認來進行安全設計和實施的證據(jù)。這包括部署和操作。這些準則適用于產(chǎn)品的整個生命周期，包括配置、部署、維護和壽命終止。

靜態(tài)應用程序安全性測試

對于本文的討論而言，重要的是對應用程序代碼掃描器的要求：

“……一種自動化工具，可以分析應用程序源代碼中的安全漏洞、惡意代碼和后門。” — DISA ASD STIG概述，第4.1節(jié)

在更常用的術語中，這是通過靜態(tài)代碼分析實現(xiàn)的靜態(tài)應用程序安全測試（SAST）。“應盡可能利用它。特別是在開發(fā)環(huán)境中，可以在發(fā)布之前解決已確定為需要補救的代碼。”ASD STIG還包含以下指導：

“應用程序掃描程序可用于測試開發(fā)或生產(chǎn)應用程序系統(tǒng)是否存在由于應用程序代碼錯誤或應用程序系統(tǒng)配置錯誤而導致的安全漏洞。這些漏洞包括SQL注入、代碼注入、跨站點腳本（XSS）、文件泄露、權限以及可在網(wǎng)絡可訪問的應用程序中找到的其他安全漏洞。” — DISA ASD STIG概述，第4.2節(jié)–應用程序掃描程序

ASD STIG要求使用活動的漏洞測試（例如，筆測試工具）來測試可執(zhí)行軟件。在開發(fā)和部署期間需要這些工具來支持漏洞評估。

DISA ASD STIG驗證方法

ASD STIG概述了驗證符合要求的方法，包括：

• 應用程序代碼和應用程序掃描

• 人工審核

• 功能安全測試

團隊使用SAST工具報告和審核來驗證應用程序和代碼掃描。功能測試正在使用自動化工具或手動測試來驗證該軟件中不存在該漏洞。換句話說，將這種方法視為“做某事，檢查某件事”。例如，檢查操作是否正常運行，并在必要時進行了記錄）。這些方法適用于自動化測試，因為它提供了效率和審核跟蹤工具。

實用的DISA ASD STIG靜態(tài)分析工具合規(guī)方法

要求DISA ASD STIG的DoD進行軟件開發(fā)的現(xiàn)實情況是，您必須測試所有要求和漏洞。這可能是一項艱巨的任務，但是自動化可以減輕一些負擔。

Parasoft關于如何遵循DISA ASD STIG的建議是在最有意義的地方利用自動化，例如CI/CD管道或DevSecOps流程。目標是減輕合規(guī)性負擔，但也要使用先發(fā)制人的技術來防止漏洞。與開發(fā)期間相比，在軟件即將完成時檢測和修復漏洞更加昂貴且耗時。因此，Parasoft的方法是在生命周期的較早階段左移漏洞評估、檢測和修復。

通過靜態(tài)分析滿足DISA ASD STIG應用程序掃描要求

DISA ASD STIG使用術語“應用程序掃描”，該術語等同于靜態(tài)代碼分析和相關技術，例如軟件組成分析。除了通過靜態(tài)代碼分析進行漏洞評估的一般要求之外，還有一些特定要求來掃描特定漏洞，例如：

• OWASP Top 10（V-69513）

• 溢出（V-70277）

• 比賽條件（V-70185）

• 錯誤處理（V-70391）

盡管這看起來像是一小組漏洞，但實際情況是這轉化為許多相關的軟件漏洞。例如，OWASP（開放Web應用程序安全性項目）的前10名轉化為超過50個CWE。每個都有多個相關的弱點。

盡管這是特定于合規(guī)性的漏洞集，但還是要考慮廣泛地檢測一系列漏洞。此外，重要的是，團隊必須將注意力集中在DISA ASD STIG的指南之外，以包括預防性指南，例如常見的行業(yè)安全編碼標準中所包含的那些。

顧名思義，OWASP Top 10是致力于提高Web應用程序安全性的組織。他們的OWASP Top 10項目提供了最常見和影響最大的Web應用程序安全漏洞的列表。

與SCA工具集成

雖然可以使用靜態(tài)分析工具來檢測大多數(shù)問題，但有些問題無法進行靜態(tài)分析。避免具有已知漏洞的軟件的準則與軟件組成分析（SCA）有關。Parasoft通過將SCA工具與我們的靜態(tài)分析輸出集成到單個報告中來支持這一點，從而全面涵蓋了前10名。

通過預配置設置和針對C/C++，Java和C＃/.NET的特定Web儀表板報告，Parasoft靜態(tài)分析為OWASP Top 10提供了開箱即用的支持。Parasoft工具中的OWASP報告為項目提供了完全可審核的合規(guī)性框架。這些報告集成到特定于標準的儀表板中，例如下面的DISA ASD STIG儀表板。

Parasoft DISA ASD STIG儀表板

Parasoft實施了所有主要的應用程序安全標準，例如SEI CERT安全編碼，CWE（通用弱點枚舉）編碼準則，UL 2900和OWASP，以及每個標準的安全性專用儀表板。這可以幫助用戶了解未解決的違規(guī)/漏洞/安全缺陷的風險和優(yōu)先級。

安全重點報告

 合規(guī)報告可按需提供。合規(guī)性標準非常靈活，并且特定于團隊的項目和代碼庫。開發(fā)人員可以根據(jù)嚴重性、風險、影響、代碼使用年限、組件的重要性等來制定策略。他們可以使用它們輕松地指導開發(fā)并向審核員顯示努力。

Parasoft OWASP十大合規(guī)性報告

靜態(tài)分析工具的關鍵方面之一是報告和分析功能。項目會在警告方面創(chuàng)建大量數(shù)據(jù)，并且會逐個生成倍增。數(shù)據(jù)管理對于靜態(tài)分析工具的成功采用和投資回報至關重要。

為每個編碼標準和安全性準則調(diào)整的儀表板、報告和一致性至關重要。Parasoft分析利用行業(yè)標準的風險模型以及多種人工智能（AI）和機器學習（ML）技術來確定安全警告的優(yōu)先級，并幫助開發(fā)人員專注于影響最大的最關鍵問題。

總結

DISA ASD STIG提出了一系列艱巨的要求，以確保國防部應用程序的軟件安全。有多種方法可以證明符合STIG中概述的規(guī)則。常用方法包括：

• 文件審核

• 來自靜態(tài)分析儀等工具的報告

• 必要時手動調(diào)查應用程序日志

STIG概述了自動化機會的關鍵領域，例如應用程序代碼和應用程序掃描。靜態(tài)分析有助于實現(xiàn)其中一些目標。

務實的方法可減輕合規(guī)性負擔，并鼓勵采取預防措施，以在項目生命周期的早期消除漏洞。 Parasoft的靜態(tài)分析可及早發(fā)現(xiàn)漏洞。此解決方案可強制執(zhí)行代碼樣式和質(zhì)量，以盡早防止不良的安全做法。

在我們的白皮書中詳細了解測試自動化的作用，工具的必需方面以及實現(xiàn)DISA ASD STIG的實用方法。