...
OWASP ダッシュボード テンプレートを使用すると、OWASP コンプライアンスを監視する、あらかじめ構成されたウィジェット セットをすばやく追加できます。OWASP Compliance アーティファクトに同梱のプロファイルの一覧については「Dashboard Templatesダッシュボード テンプレート」を参照してください。
ダッシュボード テンプレートは、Security Compliance Pack のインストールの一部として DTP 環境にデプロイされます。
...
| タイトル | デフォルトのタイトルの代わりにダッシュボードに表示する新しいタイトルを入力します。 |
|---|---|
| フィルター | メニューから特定のフィルターまたはダッシュボード設定を選択します。詳細については「フィルターの設定Configuring Filters」を参照してください。 |
| ターゲット ビルド | メニューから特定のビルドを選択します。ダッシュボード全体について選択されたビルドがデフォルトで選択されます。ビルドの詳細については「Using Build Administration」を参照してください。 |
| コンプライアンス プロファイル | コンプライアンス プロファイルを指定します (「Custom Configuration for Profileプロファイルのカスタム設定」を参照)。コンプライアンス プロファイル データはコンプライアンス レポートで使用されます。 |
| Exploitability (悪用のしやすさ) | API Security のみ。表示したい攻撃容易性カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Prevalence (弱点の蔓延度) | API Security のみ。表示したい拡散度カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Detectability (弱点の検出しやすさ) | API Security のみ。表示したい検出可能性カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Impact (技術面への影響) | API Security のみ。表示したい影響レベル (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
...
この Compliance アーティファクトに同梱されているダッシュボード テンプレートのリストについては「Dashboard Templatesダッシュボード テンプレート」を参照してください。次のウィジェットは、1 つ以上のダッシュボードに含まれています。
...
- No rules enabled (有効化されたルールなし): DTP にコード解析がレポートされていないか、または OWASP Top 10 テスト コンフィギュレーションが Jtest または dotTEST で実行されませんでした。
- N/A: OWASP アセットがサービスにデプロイされていないか、サービスが実行されていません。「Deploying the OWASP Compliance Assetsアセットのデプロイ」を参照してください。
- Compliant With Deviations (逸脱があるが準拠): レポートされた違反は許容範囲であり、抑制されています。逸脱/抑制の詳細については「Deviations Report」を参照してください。
- Compliant With Violations (違反があるが準拠): レポートされた違反は、重大なリスクを示すものではありません。
- Compliant (準拠): 違反はまったくレポートされていません。抑制は適用されていません。
- Not Compliant (準拠していない): 重大なリスクを示す違反がレポートされました。
- Missing Rule(s) in Analysis (見つからないルールが解析に存在): プロファイル で文書化された Parasoft コード解析ルールが、指定のビルドに含まれていませんでした。すべてのルールが Jtest または dotTEST で有効化されていることを確認し、解析を再実行してください。
...
ウィジェットをクリックすると、CWE Compliance Report が開きます (詳細については CWE Compliance を参照)。
OWASP Compliance -
...
Weakness by Status
このウィジェットは OWASP Compliance アーティファクトに含まれます。円グラフの赤い部分は、コードが準拠していない脆弱性を表します。緑の部分は、コードが準拠している脆弱性を表します。このウィジェットは、違反と逸脱の数も表示します。
...
- メニューを使って脆弱性プロパティでソートします。
- 違反エクスプローラー で違反を確認するには、[違反の数] 列のリンクをクリックします。
- 違反エクスプローラー で違反を確認するには、[逸脱の数] 列のリンクをクリックします。
- [Weakness] 列のリンクをクリックして Weakness Detection Plan を開きます。脆弱性を検出する Parasoft コード解析ルールをレビューできるように、リンクから特定の脆弱性に直接移動します。
- OWASP Compliance サブ レポートの 1 つを開きます (Weakness Detection Plan、Deviations Report、Build Audit Reportビルド監査レポート)。
- プリンター印刷に適した PDF 形式のレポートをエクスポートするには、[Download PDF] をクリックします。「Adding a Custom Graphic to the Navigation Bar」で説明するように DTP にカスタム グラフィックを追加した場合、PDF にもカスタム グラフィックが表示されます。
...
Weakness Detection Plan は、OWASP ガイドラインを推進するために使用される静的解析ルールを表示し、各ガイドラインがどのように推進されているかを説明します。このレポートは、コンプライアンス プロファイルで指定されたデータを使用します (「Custom Configuration for Profileプロファイルのカスタム設定」を参照)。プロジェクトに関係する特定の問題をより反映するために、プロファイルで各脆弱性プロパティに関連する値を設定できます。
...