行业认证标准:如何达到DISA ASD STIG规范进行软件开发

最新推荐文章于 2022-03-24 19:32:05 发布
最新推荐文章于 2022-03-24 19:32:05 发布
阅读量416 收藏
点赞数
分类专栏: # 行业认证标准 文章标签: DISA STIG 代码规范 软件开发 软件测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Pokemogo/article/details/110197761
版权
本文介绍了如何使用Parasoft的测试自动化工具满足DISA ASD STIG的安全要求,涵盖应用程序扫描、代码扫描和功能验证,帮助软件开发团队在DoD网络上确保应用程序的安全。
摘要由CSDN通过智能技术生成

简化DISA ASD STIG的合规性

您的软件开发团队可以使用Parasoft满足所有要求的业界领先支持,简化对DISA ASD STIG的遵守。从深入的应用程序扫描(发现OWASP Top 10、溢出、竞争情况和错误处理)到测试自动化的应用,再到STIG功能验证要求。

从头开始设计,Parasoft的解决方案轻巧且具有容器化功能,可支持当今的现代DoD DevSecOps计划,例如DSOP。

什么是DISA ASD STIG

国防信息系统局(DISA)提供了各种安全技术实施指南(STIG),为在国防部(DoD)网络上安全地实施和部署应用程序提供了指南。应用程序安全和开发(ASD)STIG涵盖内部应用程序开发和第三方应用程序评估。

执行摘要中说明了此目的:“这些要求旨在帮助应用程序开发计划经理、应用程序设计人员/开发人员、信息系统安全经理(ISSM)、信息系统安全员(ISSO)和系统管理员(SA)进行配置。并维护其应用程序的安全控制。

 

使用Parasoft解决方案实施

最低0.47元/天 解锁文章
Pokemogo
关注
专栏目录
[涨知识]美国国防部怎样达成DISA ASD STIG合规性?
Pokemogo的博客
01-05 409
DISA ASD STIG包括国防信息系统局(DISA)、应用程序安全与开发(ASD)和安全技术实施指南(STIG)。它们是国防部使用的一系列保护台式机和企业应用程序安全的准则。有很多STIGS用于保护DoD基础设施和服务的不同部分,但是,ASD指南涵盖内部应用程序开发和第三方应用程序评估。 要达到DISA ASD STIG指南的要求,通常需要以证明文件的形式证明安全合规并使得审核员满意。这篇文章涵盖: Parasoft推荐的一种有效、低风险且具有成本效益的方式来实现合规性。 指定使用应用程序扫..
使用 Polyspace Bug Finder 实施 DISA STIG 规则:Polyspace Bug Finder 可以帮助自动实施 STIG 规则-matlab开发
05-29
国防信息系统局 (DISA) 制定了许多规则来增强 DoD IA 和支持 IA 的设备/系统的安全性。 这些规则以 DISA 安全技术实施指南 (STIG) 的形式出现。 STIG 包含“锁定”可能容易受到恶意计算机攻击的信息系统/软件的技术指导。 Polyspace Bug Finder 是一种静态分析工具,可以帮助自动执行 STIG。 它检测代码中的多种安全漏洞,例如不安全的加密功能,意外的特权提升,污染的数据和其他安全问题。 使用 Bug Finder 检查器,您可以自动检查是否违反了许多 STIG 规则。 随附的文档和电子表格包含来自 DISA STIG 规则的映射以及在 Polyspace Bug Finder 中使用此映射的方法。 它还包含一个审查范围来过滤结果,允许只显示那些符合 DISA STIG 规则的结果。
DISA STIG
cnbird's blog
03-07 1414
http://iase.disa.mil/stigs/Pages/index.aspx
你真的了解DISA STIG吗?
03-24 8113
如果你是在国防行业相关的企业中工作,你可能常常会听到DISA STIG,但是你可能只知道DISA STIG是一个标准,那么它具体是什么呢?可能你还有很多疑惑,如果说有一天你需要过DISA STIG认证标准,那么又该怎么做呢?那这期的文章就让我们聊聊这个话题吧,跟着我一起走进今天的小课堂。 STIG的概述 首先,我们要明白DISA STIG中的DIAS和STIG本身是代表什么: DIAS其实就是国防信息系统局(Defense Information Systems Agency)的简称。 ST...
Parasoft如何满足DISA STIG标准
03-24 9336
上期讲到了DISA STIG的一些基础知识,但是对于我们用户来讲,我们其实更加关心如何去通过DISA STIG这个标准。但是这个通过流程并不是那么简单,所以这一期我们就来聊聊,DISA STIG标准需要我们怎么做才能通过行业认证呢?在了解需要需要做的事情后,如何高效地去实现呢? DISA STIG认证需要什么? 实现对DISA STIG的遵从需要提供证据,通常都是以文档的形式来呈现给审计员。但是DISA STIG中有非常多的详细条例,而且通常情况下,目标也有数百个组件,这样数量庞大的文档通过手...
RHEL7-STIG:Red Hat 7 STIG Baseline的Ansible角色
03-17
RHEL 7 DISA STIG 将RHEL 7系统配置为符合DISA STIG。 默认情况下,将对所有调查结果进行审核。 默认情况下,将对无干扰的CAT I,CAT II和CAT III结果进行更正。 可以通过将rhel7stig_disruption_high设置为yes来...
STIG-Fusion:一种工具,可在更新STIG时将旧的DISA CKL文件快速轻松地迁移到新文件
05-18
该工具被设计为在DISA更新基础STIG时更新DISA STIG检查表(CKL)文件的快速,简单方法。 用法 下载最新 将整个文件夹解压缩到您选择的位置应用程序依赖于使用这些文件-不仅提取可执行文件 开启档案 导入旧的(现有的...
PowerStig:STIG自动化
05-13
PowerStig是一个PowerShell模块,其中包含多个组件,以在可能的情况下自动执行不同的DISA安全技术实施指南(STIG)。 名称 描述 发布到PS Gallery 从xccdf中提取配置对象 不 用于访问PowerSTIG“数据库”的...
STIG oracle
cnbird's blog
09-18 524
http://iase.disa.mil/stigs/app_security/database/oracle.html
合规审计-企业安全的基石
TenableSecurity的博客
06-13 793
根据Tenable在2016年底进行的一项调查,只有50%的客户正在使用我们的SC或SCCV的配置核查审计功能。这是一个坏消息,好消息是那些使用过这个功能的客户真的很喜欢它。但回到坏消息,Tenable和CIS组织做过一项单独的研究项目,研究发现只有55%的企业客户为笔记本电脑,工作站和服务器设定安全配置标准或基线,这使得许多系统具有潜在的不必要的开放端口和服务,使用弱密码或默认密码,过度宽泛的用...
软件合规性团队应借鉴DevSecOps实践
SIGinChina的博客
09-25 580
作者:新思科技应用安全分析师Charlie Klein 尽管软件测试对于合规性至关重要,但当测试工具无法跟上现代软件开发的速度时,开发人员也会感到沮丧。本文将为您解析如何在不影响软件开发速度的情况下进行有效的软件合规性测试。 许多人认为应用安全仅仅应该是安全团队的责任。然而,虽然安全专家可以对此做出贡献,开发人员通常是唯一具备修复软件安全漏洞的技术能力的人。软件合规性也是如此。归根结...
行业认证标准:IEC 62304-医疗设备软件安全分类标准
Pokemogo的博客
11-27 10000
什么是IEC 62304? IEC 62304标准在医疗设备行业中使用,它是一种软件安全分类,它为软件生命周期过程提供了一个框架,其中包含为安全设计和维护医疗设备软件所必需的活动和任务。美国FDA接受IEC 62304合规性作为证明医疗设备软件已根据要求的法规/标准进行设计的证据,因为它可确保开发和维护过程的可追溯性和可重复性。 通过源代码分析、单元测试、可追溯性等来增强IEC 62304的合规性 与国际标准(ISO 62304)和欧洲标准(EN 62304)相似,IEC 62304标准引入了不同
行业认证标准:MISRA编码标准(MISRA C:2012和MISRA C++:2008)
Pokemogo的博客
11-27 7493
什么是MISRA? MISRA是指由汽车工业软件可靠性协会(MISRA)开发的,针对C和C++广泛采用的编码标准。 MISRA编码标准(MISRA C:2012和MISRA C++:2008)已广泛用于除汽车以外的安全关键型行业,例如医疗、军事和航空航天工程,它提供了一组用于编写嵌入式C和C++代码的最佳实践,促进针对关键系统的安全、可靠和可移植代码的编写。(MISRA拥有C和C++的工作组,Parasoft是MISRA的两个工作组的成员。) MISRA C:2012 对于C开发,MISRA C标准
行业认证标准:IEC 61508电气/电子产品功能安全“通用”国际标准
Pokemogo的博客
11-27 6425
什么是IEC 61508? IEC 61508被认为是功能安全的基本或“通用”国际标准。IEC 61508可应用于任何类型的与安全相关的电气/电子产品。工业部门应根据需要提供自己的特定标准、文档和指南(例如,汽车中的ISO 26262)。IEC 61508涵盖了关键安全系统的整个安全生命周期。它包含4个规范性部分(1-4)和3个信息性或“准则”部分(5-7)。IEC 61508的认证是可选的——该标准没有特别要求。 IEC 61508技术标准引入了安全完整性等级(SIL)的概念。SIL可以采用四个级别之
行业认证标准:ISO 26262-汽车软件功能安全标准
Pokemogo的博客
11-27 4407
什么是ISO 26262? ISO 26262“道路车辆–功能安全”是一项功能安全标准,涵盖了电气和电子汽车系统及其开发过程,包括需求规范、设计、实施、集成、验证、确认和配置。该标准通过在软件和硬件级别上指定要求来提供有关汽车安全生命周期活动的指南。 通过源代码分析和单元测试来增强ISO 26262的合规性 Parasoft用户可以利用Parasoft C/C++test通过自动执行标准所需的多种测试方法来降低达到ISO 26262法规遵从性的成本。该标准的第6部分专门针对软件级别的产品开发,Pa
行业认证标准:EN 50128铁路应用-通信、信号和处理系统
Pokemogo的博客
11-27 4064
什么是EN 50128? EN 50128“铁路应用——通信、信号和处理系统”是欧洲过程标准。它包含技术要求以及规程,原则和措施,以确保在存在安全隐患的情况下开发被认为安全的软件。使用专用微处理器,可编程逻辑控制器、多处理器分布式系统、大规模中央处理器系统或其他体系结构,可以在铁路控制系统和铁路系统上运行在铁路控制可编程电子系统上运行的软件。 加强EN 50128与源代码分析、单元测试、可追溯性等的合规性 借助Parasoft C/C++test及其自动化软件测试工具套件,可以有效、高效地达到EN 5
国电南瑞DISA通信规约 v2.01:变电站自动化信息传输
"国电南瑞-DISA通信规约(v2.01)是国电南瑞科技股份有限公司基于DL451-91循环式远动规约制定的企业标准,旨在满足变电站综合自动化系统信息传输的需求。该规约适用于点对点的通信模式,包含了遥信、遥测、事件顺序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值