...
- OWASP Top 10 2021
- OWASP API Security Top 10 2019
- OWASP API Security Top 10 2023
要件
以下のいずれかの Parasoft ツールからのコード解析データが必要です。
- 適切な Security Compliance Pack ライセンスがある Parasoft dotTEST
- 適切な Security Compliance Pack ライセンスがある Parasoft Jtest
- OWASP Dependency-Check PackOWASP Dependency Check による脆弱性は、OWASP Top 10 2021 A6: Vulnerable and Outdated Components ガイドライン違反として DTP でレポートされます。OWASP Dependency-Check Pack のデータを Parasoft Jtest または dotTEST のコード解析結果とマージして、OWASP セキュリティ コンプライアンスを完全に実装することができます。
前提条件の詳細については「Security Compliance Pack」を参照してください。
...
- DTP の設定メニュー (歯車のアイコン) から [Extension Designer] を選択します。
- [サービス] タブをクリックし、DTP ワークフロー サービス カテゴリを選択します。アセットはどのサービス カテゴリにもデプロイできますが、Parasoft のアセットのカテゴライズに合うように DTP ワークフロー カテゴリを使用することを推奨します。[カテゴリの追加] をクリックして独自のサービス カテゴリを作成することもできます (詳細については「Working with Services」を参照)。
- 既存のサービスにアーティファクトをデプロイするか、新しいサービスを追加できます。サービスにデプロイしたアーティファクトの数は、全般的なパフォーマンスに影響します。詳細については「Extension Designer Best Practices」を参照してください。既存のサービスを選択し、ステップ 5 まで継続するか、または [サービスの追加] をクリックします。
- サービスの名前を指定して [確認] をクリックします。
- タブ化されたインターフェイスは、サービス内でアーティファクトを配置するのに役立ちます。複数のタブにまたがってアーティファクトを配置してもシステムのパフォーマンスには影響しません。タブをクリックし (または [+] ボタンをクリックして新しいタブを追加し アイコンをクリックして新しいタブを追加し)、縦の三点メニューから [読み込み] を選択します。
- OWASP API Security API Top 10 2019 の場合は、[ローカル] > [フロー] > [ワークフロー] > [Security] > [OWASP API Security Top 10 Compliance] に移動し、[インポート] をクリックします。
- OWASP Top 10 2021 の場合は、[ローカル] > [フロー] > [ワークフロー] > [Security] > [OWASP Top 10 Compliance 2021] に移動し、[インポート] をクリックします。
- 空いている任意の箇所をクリックしてサービスにアーティファクトを追加します。
- [デプロイ] をクリックし、DTP 環境へのアーティファクトのデプロイを完了します。
- DTP に戻ってダッシュボードをリフレッシュします。
...
OWASP ダッシュボード テンプレートを使用すると、OWASP コンプライアンスを監視する、あらかじめ構成されたウィジェット セットをすばやく追加できます。OWASP Compliance アーティファクトに同梱のプロファイルの一覧については「Dashboard Templatesダッシュボード テンプレート」を参照してください。
ダッシュボード テンプレートは、Security Compliance Pack のインストールの一部として DTP 環境にデプロイされます。
- DTP ツールバーから [ダッシュボードの追加] をクリックして名前を指定します。
- [テンプレートからダッシュボードを作成] オプションを有効化し、ドロップダウン メニューからいずれかの を有効にし、関連するメニューからいずれかの OWASP テンプレートを選択します。
- [作成] をクリックしてダッシュボードの追加を完了します。
...
アーティファクトに同梱された OWASP ウィジェットは、既存のダッシュボードに追加できます。ダッシュボードにウィジェットを追加する方法については「Adding Widgets」を参照してください。アーティファクトのデプロイ後、[ウィジェットの追加] ダイアログの [OWASP API] または [OWASP 2021Top 10] カテゴリに OWASP ウィジェットが表示されます。
以下の設定を使用できます。
| Scroll Table Layout | ||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|
|
| タイトル | デフォルトのタイトルの代わりにダッシュボードに表示する新しいタイトルを入力します。 |
|---|---|
| フィルター | ドロップダウン メニューから特定のフィルターまたはダッシュボード設定を選択します。詳細については「Creating and Managing Filters」を参照してください。 |
| ターゲット ビルド | ドロップダウン メニューから特定のビルドを選択します。ダッシュボード全体について選択されたビルドがデフォルトで選択されます。ビルドの詳細については「Using Build Administration」を参照してください。 |
| コンプライアンス プロファイル | コンプライアンス プロファイルを指定します (「Profile Configurationプロファイルのカスタム設定」を参照)。コンプライアンス プロファイル データはコンプライアンス レポートで使用されます。 |
| Exploitability (悪用のしやすさ) | API Security 2019 のみ。表示したい攻撃容易性カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Prevalence (弱点の蔓延度) | API Security 2019 のみ。表示したい拡散度カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Detectability (弱点の検出しやすさ) | API Security 2019 のみ。表示したい検出可能性カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Impact (技術面への影響) | API Security 2019 のみ。表示したい影響レベル (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
...
この Compliance アーティファクトに同梱されているダッシュボード テンプレートのリストについては「Dashboard Templatesダッシュボード テンプレート」を参照してください。次のウィジェットは、1 つ以上のダッシュボードに含まれています。
...
- No rules enabled (有効化されたルールなし): DTP にコード解析がレポートされていないか、または OWASP Top 10 テスト コンフィギュレーションが Jtest または dotTEST で実行されませんでした。
- N/A: OWASP アセットがサービスにデプロイされていないか、サービスが実行されていません。「Deploying the OWASP Compliance Assetsアセットのデプロイ」を参照してください。
- Compliant With Deviations (逸脱があるが準拠): レポートされた違反は許容範囲であり、抑制されています。逸脱/抑制の詳細については「Deviations Report」を参照してください。
- Compliant With Violations (違反があるが準拠): レポートされた違反は、重大なリスクを示すものではありません。
- Compliant (準拠): 違反はまったくレポートされていません。抑制は適用されていません。
- Not Compliant (準拠していない): 重大なリスクを示す違反がレポートされました。
- Missing Rule(s) in Analysis (見つからないルールが解析に存在): プロファイル で文書化された Parasoft コード解析ルールが、指定のビルドに含まれていませんでした。すべてのルールが Jtest または dotTEST で有効化されていることを確認し、解析を再実行してください。
...
ウィジェットをクリックすると、CWE Compliance Report が開きます (詳細については CWE Compliance を参照)。
OWASP Compliance -
...
Weakness by Status
このウィジェットは OWASP Compliance アーティファクトに含まれます。円グラフの赤い部分は、コードが準拠していない脆弱性を表します。緑の部分は、コードが準拠している脆弱性を表します。このウィジェットは、違反と逸脱の数も表示します。
...
このウィジェットは、脆弱性別にグループ化した違反をツリー マップで表示します。各タイルは色分けされ、OWASP ガイドラインの 1 つの脆弱性を表します。このウィジェットの設定方法については「Configuring Security Compliance Pack Widgetsウィジェットの構成」を参照してください。
Anchor Viewing the OWASP Compliance Report Viewing the OWASP Compliance Report
OWASP Compliance レポートの表示
| Viewing the OWASP Compliance Report | |
| Viewing the OWASP Compliance Report |
メインの OWASP Compliance Report は、OWASP コンプライアンス ステータスの詳細を提供し、準拠を証明するための主要文書の役割を果たします。
以下の操作を行うことができます。
- ドロップダウン メニューを使って脆弱性プロパティでソートします。
- 違反エクスプローラー で違反を確認するには、[違反の数] 列のリンクをクリックします。
- 違反エクスプローラー で違反を確認するには、[逸脱の数] 列のリンクをクリックします。
- [Weakness] 列のリンクをクリックして Weakness Detection Plan を開きます。脆弱性を検出する Parasoft コード解析ルールをレビューできるように、リンクから特定の脆弱性に直接移動します。
- OWASP Compliance サブ レポートの 1 つを開きます (Weakness Detection Plan、Deviations Report、Build Audit Reportビルド監査レポート)。
- プリンター印刷に適した PDF 形式のレポートをエクスポートするには、[Download PDF] をクリックします。「Adding a Custom Graphic to the Navigation Bar」で説明するように DTP にカスタム グラフィックを追加した場合、PDF にもカスタム グラフィックが表示されます。
...
Weakness Detection Plan は、OWASP ガイドラインを推進するために使用される静的解析ルールを表示し、各ガイドラインがどのように推進されているかを説明します。このレポートは、コンプライアンス プロファイルで指定されたデータを使用します (「Profile Configurationプロファイルのカスタム設定」を参照)。プロジェクトに関係する特定の問題をより反映するために、プロファイルで各脆弱性プロパティに関連する値を設定できます。
...
標準からの逸脱が文書化され、ソフトウェアの安全性に影響しない限り、コードは違反があっても OWASP 準拠であることができます。逸脱とは、コード中で直接抑制されたコード解析ルール、または DTP の違反エクスプローラーで抑制されたコード解析ルールです。コード中で違反を抑制する方法については、dotTEST または Jtest のドキュメントを参照してください。DTP で違反を抑制する方法については、違反エクスプローラーのドキュメントの「違反の抑制」を参照してください。
OWASP Compliance Deviations Report で Deviation Report リンクをクリックすると、Deviation report リンクをクリックすると、Deviations Report が開きます。
Deviations Report は、すべてのガイドラインの ID とヘッダーを表示しますが、抑制されたガイドラインには追加情報を表示します。以下の操作を行うことができます。
- [Only Deviations] オプションを有効化して、逸脱がない違反を非表示にします。を有効化して、逸脱がない違反を非表示にします。
- [Hide Modification History] オプションを有効化して、逸脱の変更履歴を非表示にします。 を有効化して、逸脱の変更履歴を非表示にします。
ビルド監査レポート
このレポートは、コード解析違反の概要を表示するほか、ビルドに関連したテスト結果とカバレッジ情報も表示します。また、データのアーカイブをダウンロードすることもできます。これは、定期的な監査で OWASP への準拠を証明するために使用できるアーティファクトです。
...
- OWASP Top 10-2021
- OWASP API Security Top 10-2019
- OWASP API Security Top 10-2023
- UL 2900 (OWASP Top 10-2021 と CWE Top 25 + On the Cusp を組み合わせたもの)
...
- OWASP Top 10 2021 - .NET
- OWASP Top 10 2021 - Java
- OWASP API Top 10 2019 - .NET
- OWASP API Top 10 2019 - Java
- OWASP API Top 10 2023 - .NET
- OWASP API Top 10 2023 - Java
Security Compliance Pack には次の UL 2900 ダッシュボード テンプレートが付属しており、これは CWE Top 25 + On the Cusp および OWASP Top 10 2021 コンプライアンスを表示するように構成されたウィジェットを含むます。 CWE コンプライアンスを表示するように構成されたウィジェットを含むます。CWE と OWASP 2021 の両方のコンプライアンス アーティファクトをデプロイする必要があることに注意してください。
- UL 2900 - Java
- UL 2900 - .NET
...
個々のコード解析ルールは、「セキュリティ」や「例外」といったカテゴリに属します。OWASP Compliance アーティファクトには、OWASP 固有のカテゴリ (つまり脆弱性タイプまたは影響) にコード解析ルールをマッピングするファイルが含まれています。以下のファイルで定義されたカテゴリに従って違反をレポートするようにウィジェットを構成して、OWASP カテゴリに従って違反を確認できます。 カテゴリに従って違反を確認できます。
- OWASP Top 10 2021 - Java
- OWASP Top 10 2021 - .NET
- OWASP API Security Top 10 2019 - Java
- OWASP API Security Top 10 2019 - .NET
- OWASP API Security Top 10 2023 - Java
- OWASP API Security Top 10 2023 - .NET
モデルとプロファイル
プロファイルは、DTP インフラストラクチャでさまざまな機能を提供します。たとえば、拡張によって実行されるカスタム計算の入力や、コンプライアンス レポートのためのデータなどです。プロファイルはモデルからその構造を取ります。これはフィールド、ヘッダー、あるいはプロファイルで使用される他のコンポーネントを定義します。DTP Enterprise Pack のプロファイルの詳細については「Working with Model Profiles」を参照してください。
...
- OWASP Top 10 2021 - Java
- OWASP Top 10 2021 - .NET
- OWASP API Security Top 10 2019 - Java
- OWASP API Security Top 10 2019 - .NET
- OWASP API Security Top 10 2023 - Java
- OWASP API Security Top 10 2023 - .NET
PDF の提供
Parasoft ルールと OWASP ガイドラインとの関連を示す PDF が次の場所に用意されています: <PACK>/rules/jtest および <PACK>/rules/dottest ディレクトリdottest ディレクトリ