在.NET应用程序中构建安全性

dotTEST的最新版本专注于帮助组织减轻当今应用程序固有的业务风险，通过扩展的静态分析功能应对这些挑战，并引入新的安全合规性套件，从而将OWASP，CWE和UL-2900的合规性 告引入到.NET开发团队。

在dotTEST的10.4.1版本中我们引入了重要的增强功能，以帮助开发组织交付安全可靠的.NET应用程序。继续阅读以了解有关将安全性构建到.NET软件中的更多信息。

正如SANS研究所 告《2018安全DevOps：事实还是虚构中所讨论的那样，许多组织受到隐私和访问权限的约束（例如GDPR，PCI，PII），联邦法规和强制性监督。有了这些界限，为确保成功的DevSecOps策略，将自动化安全测试集成到开发工作流程中至关重要：

可以（并且应该）将持续的漏洞扫描嵌入到自动构建/部署管道中，并进行持续集成和持续交付，以在问题出现时立即发现问题。

——2018安全DevOps：事实还是虚构/span>

该 告还强调指出，超过50％的受访组织认为现有的旧应用程序具有风险，占漏洞总数的14％以上——大量应用程序利用.NET（超过30％的受访者）。

dotTEST的最新版本专注于帮助组织减轻当今应用程序固有的业务风险，通过扩展的静态分析功能应对这些挑战，并引入新的安全合规性套件，从而将OWASP，CWE和UL-2900的合规性 告引入到.NET开发团队。

扩展了对安全标准的支持

该版本扩展了Parasoft对最重要的.NET安全标准的支持，并全面支持OWASP Top 10和对业界CWE的最广泛支持。这项全面的支持使团队能够将安全性纳入其软件质量流程中，可以在Visual Studio中直接执行深度代码分析，还可以通过命令行界面和CI插件（适用于Jenkins，Bamboo，TeamCity和Azure DevOps）。

例如，以OWASP Top 10为例，Parasoft的全面支持可通过从开发开始到整个软件生命周期通过以下方式加强安全性，帮助用户实现建议的合规性：

• 完全可配置的即用型策略/测试配置。
• 从IDE内部执行并通过CI/CD流程执行，以帮助在SDLC的较早位置快速找到漏洞。
• 有关如何使用支持的文档和培训材料来修复漏洞的指南。
• 实施OWASP风险评估框架的合规性仪表板、小部件和 告。
• 应用程序漏洞关联（AVC）和实时合规性指标，显示您在实现与OWASP的合规方面做得如何。

如果您的团队希望在CWE Top 25中获得安全指导，那么Prasoft的策略驱动方法可帮助您的组织实现安全目标，同时确保一致，不干扰策略的应用。自动化的基础架构会自动监视策略合规性，以提高可见性和可审计性。

与我们对OWASP Top 10的支持一致，Parasoft开箱即用的CWE映射意味着用户不必浪费时间来尝试在配置和修复时找出哪些CWE对应的检查器。天生就知道正在处理哪个CWE，因为静态分析检查器名称会告诉您。

告以证明合规

除了新的规则和配置，安全合规性软件包还包括针对OWASP和CWE的新合规性 告，其中包括：

1. 合规概述——提供针对每个漏洞的合规状态的摘要。
2. 弱点检测计划——提供一个可配置的框架，用于将静态分析违规分配给特定弱点。

OWASP合规 告示例

仪表板和工作流程，以促进实现合规性

该安全合规性包还引入了新的OWASP和CWE特定的仪表板和小部件，可帮助组织简化有效实现（和维护）合规性的过程。通过将静态分析违规映射到OWASP的风险评分和CWE的技术影响与开发概念，组织可以了解与标准相关的风险级别以及确切的风险所在。Parasoft还提供了简化的工作流，以对违规行为进行导航并确定优先级，以确保团队最有效地工作。

按风险分类显示OWASP合规性和违规的小部件

显示按开发概念和技术影响分类的CWE合规性和违规性的小部件

总结

当今许多企业系统都是基于.NET平台构建的，因此，对于确保应用程序的可靠性和安全性对于企业成功而言至关重要。Parasoft dotTEST的最新版本引入了帮助.NET开发团队确保其应用程序可靠安全所需的关键功能。

立即申请免费试用>>

标签：