...
PCI DSS (Payment Card Industry Data Security Standard) は、ペイメント カードのトランザクションを処理するソフトウェアのコーディング要件の集合です。この規格は、カード ブランドによって義務付けられており、Payment Card Industry Security Standards Council によって管理されています。標準の詳細については、PCI Security Standards Council の Web サイトを参照してください: https://www.pcisecuritystandards.org
...
個々のコード解析ルールは、「セキュリティ」や「例外」といったカテゴリに属します。PCI DSS Compliance アーティファクトには、PCI アーティファクトには、コード解析ルールを PCI DSS 固有のカテゴリにコード解析ルールをマッピングするファイルが含まれています。以下のファイルで定義されたカテゴリに従って違反をレポートするようにウィジェットを構成して、PCI 固有のカテゴリにマッピングするファイルが含まれています。以下のファイルで定義されたカテゴリに従って違反をレポートするようにウィジェットを構成して、PCI DSS カテゴリに従って違反を確認できます。
- PCI-DSS-dotNET.xml
- PCI-DSS-Java.xml
...
Parasoft ルールと PCI DSS 要件との関連を示す PDF が次の場所に用意されています: が <PACK>/rules/jtest
および <PACK>/rules/
dottest ディレクトリ dottest
ディレクトリに用意されています。
PCI_DSS_4.0.pdf
PCI DSS Compliance アセットのデプロイ
...
- DTP の設定メニュー (歯車のアイコン) から [Extension Designer] を選択します。
- [サービス] タブをクリックし、DTP ワークフロー サービス カテゴリを選択します。アセットはどのサービス カテゴリにもデプロイできますが、Parasoft のアセットのカテゴライズに合うように DTP ワークフロー カテゴリを使用することを推奨します。[カテゴリの追加] をクリックして独自のサービス カテゴリを作成することもできます (詳細については「Working with Services」を参照)。
- 既存のサービスにアーティファクトをデプロイするか、新しいサービスを追加できます。サービスにデプロイしたアーティファクトの数は、全般的なパフォーマンスに影響します。詳細については「Extension Designer Best Practices」を参照してください。既存のサービスを選択し、ステップ 5 まで継続するか、または [サービスの追加] をクリックします。
- サービスの名前を指定して [確認] をクリックします。
- タブ化されたインターフェイスは、サービス内でアーティファクトを配置するのに役立ちます。複数のタブにまたがってアーティファクトを配置してもシステムのパフォーマンスには影響しません。タブをクリックし (または [+] ボタンをクリックして新しいタブを追加し アイコンをクリックして新しいタブを追加し)、縦の三点メニューから [読み込み] を選択します。
- [Local] > [Flows] > [Workflows] > [Security] > [PCI DSS Compliance] を選択し、[読み込み] をクリックします。
- 空いている任意の箇所をクリックしてサービスにアーティファクトを追加します。
- [デプロイ] をクリックし、DTP 環境へのアーティファクトのデプロイを完了します。
- DTP に戻ってダッシュボードをリフレッシュします。
...
Java および .NET の PCI DSS ダッシュボード テンプレートを使用すると、PCI DSS コンプライアンスを監視する、あらかじめ構成されたウィジェット セットをすばやく追加できます。このアーティファクトに同梱されているダッシュボード テンプレートのリストについては「Dashboard Templatesダッシュボード テンプレート」を参照してください。
ダッシュボード テンプレートは、Security Compliance Pack のインストールの一部として DTP 環境にデプロイされます。ダッシュボード テンプレートが表示されない場合は、DTP サービスを再開始してください (「Stopping DTP Services」および「Starting DTP Applications」を参照)。
- DTP ツールバーから [ダッシュボードの追加] をクリックして名前を指定します。
- (オプション) 以下の情報を指定して、ダッシュボードのデフォルト ビューを設定できます:
- [フィルター] ドロップダウン メニューで、プロジェクトに関連するフィルターを選択します。フィルターは、DTP に格納されたデータをカスタマイズして表示できるラン コンフィギュレーション セットを表します。詳細については「DTP Concepts」を参照してください。
- [期間] ドロップダウン メニューで時間の範囲を指定します。
- [ベースライン ビルド] および [ターゲット ビルド] ドロップダウン メニューで、ビルド範囲を指定します。
- [テンプレートからダッシュボードを作成] オプションを有効化し、ドロップダウン メニューから を有効化し、関連メニューから PCI DSS - .NET または Java テンプレートを選択します。
- [作成] をクリックしてダッシュボードの追加を完了します。
...
タイトル | デフォルトのタイトルの代わりにダッシュボードに表示する新しいタイトルを入力します。 |
---|---|
フィルター | ドロップダウン メニューから特定のフィルターまたはダッシュボード設定を選択します。詳細については「Creating and Managing Filters」を参照してください。 |
ターゲット ビルド | ドロップダウン メニューから特定のビルドを選択します。ダッシュボード全体について選択されたビルドがデフォルトで選択されます。ビルドの詳細については「Using Build Administration」を参照してください。 |
コンプライアンス プロファイル | コンプライアンス プロファイルを指定します (「Profile Configurationプロファイルの設定」を参照)。コンプライアンス プロファイル データはコンプライアンス レポートで使用されます。 |
...
この Compliance アーティファクトに同梱されているダッシュボード テンプレートのリストについては「Dashboard Templatesダッシュボード テンプレート」を参照してください。次のウィジェットは、1 つ以上のダッシュボードに含まれています。
...
- No rules enabled (有効化されたルールなし): DTP にコード解析がレポートされていないか、またはテスト コンフィギュレーションが実行されませんでした。
- N/A: アセットがサービスにデプロイされていないか、サービスが実行されていません。「Deploying the PCI DSS Compliance Assetsアセットのデプロイ」を参照してください。
- Compliant With Deviations (逸脱があるが準拠): レポートされた違反は許容範囲であり、抑制されています。逸脱/抑制の詳細については「Deviations Report」を参照してください。
- Compliant With Violations (違反があるが準拠): レポートされた違反は、重大なリスクを示すものではありません。
- Compliant (準拠): 違反はまったくレポートされていません。抑制は適用されていません。
- Not Compliant (準拠していない): 重大なリスクを示す違反がレポートされました。
- Missing Rule(s) in Analysis (見つからないルールが解析に存在): プロファイル で文書化された Parasoft コード解析ルールが、指定のビルドに含まれていませんでした。すべてのルールが Jtest または dotTEST で有効化されていることを確認し、解析を再実行してください。
...
メインの PCI DSS Compliance Report は、 コンプライアンス ステータスの詳細を提供し、準拠を証明するための主要文書の役割を果たします。
以下の操作を行うことができます。
- ドロップダウン メニューを使って脆弱性プロパティでソートします。
- 違反エクスプローラー で違反を確認するには、[違反の数] 列のリンクをクリックします。
- 違反エクスプローラー で違反を確認するには、[逸脱の数] 列のリンクをクリックします。
- [Requirement] 列のリンクをクリックして Requirement Enforcement Plan を開きます。脆弱性を検出する Parasoft コード解析ルールをレビューできるように、リンクから特定の要件に直接移動します。
- サブ レポートの 1 つを開きます (Requirement Enforcement Plan、Deviations Report、Build Audit Reportビルド監査レポート)。
- プリンター印刷に適した PDF 形式のレポートをエクスポートするには、[Download PDF] をクリックします。「Adding a Custom Graphic to the Navigation Bar」で説明するように DTP にカスタム グラフィックを追加した場合、PDF にもカスタム グラフィックが表示されます。
...
Requirement Enforcement Plan は、PCI DSS 要件を促進するために使用する静的解析ルールを表示します。各要件をどのように推進するかをユーザーに説明することを目的とします。このレポートは、コンプライアンス プロファイルで指定されたデータを使用します (「Profile Configurationプロファイルの設定」を参照)。プロジェクトに関係する特定の問題をより反映するために、プロファイルで各脆弱性プロパティに関連する値を設定できます。
...
Deviations Report は、すべての要件の ID とヘッダーを表示しますが、抑制された要件には追加情報を表示します。以下の操作を行うことができます。
- [Only Deviations] オプションを有効化して、逸脱だけを表示します。を有効化して、逸脱だけを表示します。
- [Hide Modification History] オプションを有効化して、逸脱の変更履歴を非表示にします。を有効化して、逸脱の変更履歴を非表示にします。
ビルド監査レポート
このレポートは、コード解析違反の概要を表示するほか、ビルドに関連したテスト結果とカバレッジ情報も表示します。また、データのアーカイブをダウンロードすることもできます。これは、定期的な監査で PCI DSS への準拠を証明するために使用できるアーティファクトです。
...
デフォルト プロファイルの複製を作成して複製を変更することを推奨します。
- [プロファイルのエクスポート] をクリックして複製をダウンロードします。
- 複製の名前を変更し、[プロファイルのインポート] をクリックします。
- 複製を選択してアップロードします。
- [編集] をクリックして変更を加えます。
- [保存] をクリックします。
...