Parasoft Security Compliance Pack は、ソフトウェア セキュリティ コンプライアンス イニシアチブの実装に役立つ、DTP インフラストラクチャのアーティファクトの集合です。この Compliance Pack は、セキュリティ コンプライアンス標準に従って違反をレポートするために静的解析データを再配置する構成を含みます。また、セキュリティ コンプライアンスのステータスを表示するためのウィジェットと、全体的なセキュリティ コンプライアンスの目標に対する進捗をモニタリングするためのカスタム コンプライアンス DTP ダッシュボードも含みます。Security Compliance Pack はデフォルトで以下の標準をサポートします:
- CERT C
- CERT C++
- CERT for Java
- CWE List Version 4.9
- CWE Top 25
- CWE Top 25 + On the Cusp
- UL 2900
- OWASP Top 10 2021
- OWASP Top 10 2017
- OWASP API Security Top 10
- PCI DSS 4.0
- DISA ASD STIG
ダウンロードおよびライセンス情報については Parasoft 製品テクニカル サポート センターまでお問い合わせください。
要件
- Enterprise ライセンスの DTP および DTP Enterprise Pack
- フロー解析ライセンスが有効な Parasoft コード解析ツール具体的な要件については個々のアーティファクトのドキュメントを参照してください。
用語
Parasoft のセキュリティ用コンプライアンス ソリューションには、DTP Enterprise Pack を使用して DTP にインストールおよびデプロイされるアセットと、特定の標準に対してコードをチェックする Parasoft ツールで実行される一連のテスト コンフィギュレーションが含まれています。Security Compliance Pack という用語は、完全なセキュリティ用コンプライアンス ソリューションを意味しますが、場合によっては、Parasoft ツール UI のテスト コンフィギュレーションまたは DTP アセットの集合を意味します。
互換性
新しいバージョンの DTP Compliance Pack は、それぞれ対応するバージョンの DTP および DTP Enterprise Pack で利用できます。通常、新しいバージョンには、更新されたテスト コンフィギュレーション、ウィジェット、レポート、その他の機能拡張が含まれています。完全な互換性を確保するために、コード解析ツール、DTP、および Compliance Pack を最新バージョンにアップグレードすることを強くお勧めします。
次の表は、最適化されたデプロイメントについて説明しています。
Compliance Pack | DTP / DTP Enterprise Pack | ツール | サポートされるテスト コンフィギュレーション |
---|---|---|---|
2022.2 | 2022.2 | 2022.2 |
|
2022.1 | 2022.1 | 2022.1 |
|
2021.2 | 2021.2 | 2021.2 |
|
2021.1 | 2021.1 | 2021.1 |
|
2020.2 | 2020.2 | 2020.2 |
|
2020.1 | 2020.1 | 2020.1 |
|
5.4.3 | 5.4.3 | 10.4.3 |
|
5.4.2 | 5.4.2 | 10.4.2 |
|
5.4.1 | 5.4.1 | 10.4.1 |
|
5.4.0 | 5.4.0 | 10.4.0 |
|
Parasoft Security Compliance Pack のアーティファクト
Security Compliance Pack には以下のアーティファクトが含まれています:
- CERT C Compliance
- CERT C++ Compliance
- CERT for Java Compliance
- CWE Compliance
- Key Performance Indicator
- OWASP Compliance
- PCI DSS Compliance
使用方法の詳細については、アーティファクトのドキュメントを参照してください。
基本的な操作手順
- Security Compliance Pack (security-compliance-<version>.zip) をダウンロードし、DTP 環境にインストールします。パッケージをインストールすると、ファイルが追加されます。これらのファイルは、サポートされるセキュリティ標準に従ってコード解析違反をレポートするように DTP を構成します。
- DTP Extension Designer を使って、コードを解析したいコンプライアンス アーティファクトをデプロイします。
- ツールのインスタンスを DTP に接続し、Security Compliance Pack のテスト コンフィギュレーションを使用してプロジェクトを解析します。テスト コンフィギュレーションは Parasoft ツールおよび Security Compliance Pack に同梱されています。Compliance Pack をデプロイするときに、テスト コンフィギュレーションは自動的に DTP テスト コンフィギュレーション にアップロードされます。テスト コンフィギュレーションのどのインスタンスを使用してもコード解析を実行できます。静的解析の実行方法については、ご使用のツールのドキュメントを参照してください。
- セキュリティ コンプライアンス ダッシュボードおよびウィジェットを DTP に追加し、ユーザーのセキュリティ標準に従ってデータを表示するために構成します。
- ウィジェットとレポートを利用して、修正が必要なコードを特定したり、監査のためにレポートを出力したりします。
インストール
この Compliance Pack は圧縮フォルダー (.zip) として提供されます。Extension Designer は .zip ファイルを展開し、アップロードするときに適切な場所にコンテンツを移動します。以下のプロセスは「アーティファクトのダウンロードとインストール」でも説明しています。
- DTP の設定メニュー (歯車のアイコン) から [Extension Designer] を選択します。
- [構成] タブをクリックし、[アーティファクトの追加] をクリックします。
- .zip ファイルを参照し、[インストール] をクリックします。
Compliance Pack のファイルがインストールされたら、次のステップとして、コードを解析したいコンプライアンス標準のアーティファクトをデプロイします。詳細については以下のドキュメントを参照してください。
- CERT C Compliance
- CERT C++ Compliance
- CERT for Java Compliance
- CWE Compliance
- Key Performance Indicator
- OWASP Compliance
- PCI DSS Compliance
アップグレード
Parasoft の拡張は上位互換であるように設計されていますが、新しいバージョンの DTP または Extension Designer での動作は保証されていません。最新バージョンのアーティファクトをインストールすること、および以前のバージョンを削除することを強く推奨します。
- Security Compliance のアーティファクトに関連付けられているモデル/プロファイルのバックアップを作成します。モデルとプロファイルのコピーをエクスポートする方法については、「モデル プロファイルの使用」を参照してください。
- 既存のモデル/プロファイルを削除して、「Installation」で説明されているように新しいアーティファクトをインストールします。
- ノードを削除して [デプロイ] をクリックすることで、古いアーティファクトを Extension Designer から削除します。
- 新しいバージョンをデプロイします。
- アップグレードの一環として、新しいモデルとプロファイルがインストールされます。バックアップしたモデル/プロファイルを参照して、以前のバージョンで実装した可能性がある変更を新しくインストールしたモデル/プロファイルに適用します。