このセクションの内容:
Parasoft OWASP Compliance アーティファクトは、OWASP コーディング ガイドラインへの準拠を証明できる、DTP インフラストラクチャのアセットの集合です。このアーティファクトは Security Compliance Pack の一部として提供されています。
以下の OWASP 標準をサポートします。
以下のいずれかの Parasoft ツールからのコード解析データが必要です。
前提条件の詳細については「Security Compliance Pack」を参照してください。
DTP は、Parasoft 静的解析ルールにマッピングされているすべての OWASP ガイドラインに対して 100% の準拠を報告します。 |
OWASP Compliance は、Security Compliance Pack の一部としてインストールされます (操作手順については「インストール」を参照してください)。
OWASP Compliance アセットをデプロイするには:
これで、OWASP ダッシュボードおよびウィジェットを追加できるようになりました。
OWASP ダッシュボード テンプレートを使用すると、OWASP コンプライアンスを監視する、あらかじめ構成されたウィジェット セットをすばやく追加できます。OWASP Compliance アーティファクトに同梱のプロファイルの一覧については「ダッシュボード テンプレート」を参照してください。
ダッシュボード テンプレートは、Security Compliance Pack のインストールの一部として DTP 環境にデプロイされます。
アーティファクトに同梱された OWASP ウィジェットは、既存のダッシュボードに追加できます。ダッシュボードにウィジェットを追加する方法については「ウィジェットの追加」を参照してください。アーティファクトのデプロイ後、[ウィジェットの追加] ダイアログの [OWASP API] または [OWASP Top 10] カテゴリに OWASP ウィジェットが表示されます。
以下の設定を使用できます。
| タイトル | デフォルトのタイトルの代わりにダッシュボードに表示する新しいタイトルを入力します。 |
|---|---|
| フィルター | メニューから特定のフィルターまたはダッシュボード設定を選択します。詳細については「フィルターの設定」を参照してください。 |
| ターゲット ビルド | メニューから特定のビルドを選択します。ダッシュボード全体について選択されたビルドがデフォルトで選択されます。ビルドの詳細については「ビルド管理の使用」を参照してください。 |
| コンプライアンス プロファイル | コンプライアンス プロファイルを指定します (「プロファイルのカスタム設定」を参照)。コンプライアンス プロファイル データはコンプライアンス レポートで使用されます。 |
| Exploitability (悪用のしやすさ) | API Security のみ。表示したい攻撃容易性カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Prevalence (弱点の蔓延度) | API Security のみ。表示したい拡散度カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Detectability (弱点の検出しやすさ) | API Security のみ。表示したい検出可能性カテゴリ (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
| Impact (技術面への影響) | API Security のみ。表示したい影響レベル (1 - 3) を選択します。詳細については OWASP ガイドラインを参照してください。OWASP Compliance - Weakness by Status ウィジェットにのみ適用されます。 |
この Compliance アーティファクトに同梱されているダッシュボード テンプレートのリストについては「ダッシュボード テンプレート」を参照してください。次のウィジェットは、1 つ以上のダッシュボードに含まれています。
このウィジェットは OWASP Compliance アーティファクトに含まれます。OWASP Top 10 への準拠の現在のステータスを表示します。
7 種類のステータスがあります。
ウィジェットをクリックすると、OWASP Compliance Report が開きます。
このウィジェットは OWASP Compliance アーティファクトに含まれます。悪用のしやすさおよび弱点の蔓延度のリスクごとに違反と逸脱の密度を表示します。
グラフのセルにマウス ポインタを置くと、指定のリスク レベルについて違反および抑制の数が表示されます。セルをクリックすると、リスクでフィルタリングされた OWASP Compliance Report が開きます。
このウィジェットは OWASP Compliance アーティファクトに含まれます。OWASP 標準で定義されたリスクに従って違反の分布を示すグラフを表示します。
グラフのセルにマウス ポインタを置くと、指定のリスク レベルについて違反および抑制の数が表示されます。セルをクリックすると、リスクでフィルタリングされた OWASP Compliance Report が開きます。
このウィジェットは OWASP Compliance アーティファクトに含まれます。コードが準拠している OWASP 脆弱性の割合を表示します。ウィジェットをクリックすると、OWASP Compliance Report が開きます。
ウィジェットをクリックすると、CWE Compliance Report が開きます (詳細については CWE Compliance を参照)。
このウィジェットは OWASP Compliance アーティファクトに含まれます。円グラフの赤い部分は、コードが準拠していない脆弱性を表します。緑の部分は、コードが準拠している脆弱性を表します。このウィジェットは、違反と逸脱の数も表示します。
以下の操作を行うことができます。
このウィジェットは、DTP 標準の [違反がないルール] ウィジェットの実装です。違反をレポートしていない (準拠している) OWASP 脆弱性にマッピングされた Parasoft ルールの割合を表示します。このウィジェットの詳細については「違反がないルール - サマリー」を参照してください。
ダッシュボードは、OWASP Top 10 用に設定された [カテゴリ - 上位 5 表] ウィジェットのインスタンスを含みます。最も違反の多い OWASP カテゴリを上位 5 つ表示します。このウィジェットの詳細については「カテゴリ - 上位 5 表」を参照してください。
Rules - Top 5 Table
ダッシュボードは、OWASP Top 10 用に設定された [ルール - 上位 5 表] ウィジェットのインスタンスを含みます。最も違反の多い OWASP カテゴリにマッピングされた Parasoft ルールを上位 5 つ表示します。このウィジェットの詳細については「ルール - 上位 5 表」を参照してください。
このウィジェットは、脆弱性別にグループ化した違反をツリー マップで表示します。各タイルは色分けされ、OWASP ガイドラインの 1 つの脆弱性を表します。
メインの OWASP Compliance Report は、OWASP コンプライアンス ステータスの詳細を提供し、準拠を証明するための主要文書の役割を果たします。
以下の操作を行うことができます。
Weakness Detection Plan は、OWASP ガイドラインを推進するために使用される静的解析ルールを表示し、各ガイドラインがどのように推進されているかを説明します。このレポートは、コンプライアンス プロファイルで指定されたデータを使用します (「プロファイルのカスタム設定」を参照)。プロジェクトに関係する特定の問題をより反映するために、プロファイルで各脆弱性プロパティに関連する値を設定できます。
標準からの逸脱が文書化され、ソフトウェアの安全性に影響しない限り、コードは違反があっても OWASP 準拠であることができます。逸脱とは、コード中で直接抑制されたコード解析ルール、または DTP の違反エクスプローラーで抑制されたコード解析ルールです。コード中で違反を抑制する方法については、dotTEST または Jtest のドキュメントを参照してください。DTP で違反を抑制する方法については、違反エクスプローラーのドキュメントの「違反の抑制」を参照してください。
OWASP Deviations Report で Deviation report リンクをクリックすると、Deviations Report が開きます。
Deviations Report は、すべてのガイドラインの ID とヘッダーを表示しますが、抑制されたガイドラインには追加情報を表示します。以下の操作を行うことができます。
このレポートは、コード解析違反の概要を表示するほか、ビルドに関連したテスト結果とカバレッジ情報も表示します。また、データのアーカイブをダウンロードすることもできます。これは、定期的な監査で OWASP への準拠を証明するために使用できるアーティファクトです。
アーカイブをダウンロードするには、ビルドがロックされていなければなりません。このレポートの詳細については「ビルド監査レポート」を参照してください。
モデルとプロファイルは、DTP Enterprise Pack を有効にしてカスタムの計算とデータ処理タスクを実行するアセットです。モデルは、計算で使用される属性を定義し、プロファイルのテンプレートの役割を果たします。モデルとプロファイルの詳細については「モデル プロファイルの使用」を参照してください。
OWASP Compliance アーティファクトには、Parasoft dotTEST および Jtest のコード解析結果用のデフォルトのモデルとプロファイルが同梱されています。モデル/プロファイルは、検出された脆弱性の攻撃容易性、拡散度、および検出可能性に値を割り当てます。また、Parasoft ルールを OWASP および OWASP API の脆弱性にマッピングするためのカテゴリ情報を持ちます。
このプロファイルには、コンプライアンス レポートを生成するために必要な情報、および OWASP アーティファクトと共に出荷されたウィジェット内のデータを表示するために必要な情報が含まれています。ユーザー独自の目標を達成するためにガイドラインを再分類したい場合、または独自のレポート用に追加メタデータを指定したい場合、このプロファイルを変更できます。変更は Weakness Detection Plan で反映されます。
デフォルト プロファイルの複製を作成して複製を変更することを推奨します。
OWASP アーティファクトに同梱のウィジェットを構成する際に、別のプロファイルを選択できます。
以下のアーティファクトはパッケージに含まれており、Security Compliance Pack のインストール時に DTP 環境に追加されます。
ツールに付属のテスト コンフィギュレーションまたは Security Compliance Pack と共にインストールされたテスト コンフィギュレーションを実行するようにツールを設定できます。詳細については、ご使用のツールのドキュメントを参照してください。この Compliance Pack には以下のテスト コンフィギュレーションが含まれています。
ダッシュボード テンプレートには定義済みのウィジェットが含まれており、プロジェクトについての具体的な情報をすぐに確認することができます。
Security Compliance Pack には次の UL 2900 ダッシュボード テンプレートが付属しており、これは CWE Top 25 + On the Cusp および OWASP Top 10 2021 コンプライアンスを表示するように構成されたウィジェットを含むます。CWE と OWASP 2021 の両方のコンプライアンス アーティファクトをデプロイする必要があることに注意してください。
個々のコード解析ルールは、「セキュリティ」や「例外」といったカテゴリに属します。OWASP Compliance アーティファクトには、OWASP 固有のカテゴリ (つまり脆弱性タイプまたは影響) にコード解析ルールをマッピングするファイルが含まれています。以下のファイルで定義されたカテゴリに従って違反をレポートするようにウィジェットを構成して、OWASP カテゴリに従って違反を確認できます。
プロファイルは、DTP インフラストラクチャでさまざまな機能を提供します。たとえば、拡張によって実行されるカスタム計算の入力や、コンプライアンス レポートのためのデータなどです。プロファイルはモデルからその構造を取ります。これはフィールド、ヘッダー、あるいはプロファイルで使用される他のコンポーネントを定義します。DTP Enterprise Pack のプロファイルの詳細については「モデル プロファイルの使用」を参照してください。
アーティファクトには以下のプロファイル ファイルが含まれています。
Parasoft ルールと OWASP ガイドラインとの関連を示す PDF が次の場所に用意されています: <PACK>/rules/jtest および <PACK>/rules/dottest ディレクトリ