什么是 DISA STIG?
DISA STIG (DISA—国防信息系统局)是指提供技术指南(STIG—安全技术实施指南)的组织。
DISA 是国防部 DoD) 的一部分。它是一个为国防部工作的所有机构和个人提供IT和通信支持的战斗支援机构。DISA负责监督组织、交付和管理国防相关信息的IT和技术方面。这包括STIG指南。这些指南概述了组织应如何处理及管理软件和系统的安全性。
什么是STIG安全?
STIG安全是指安全技术信息指南STIG),是DISA的安全指南。DoD已经维护和更新了100多个STIG。
完整的STIG安全列表
有一个完整的STIG安全列表,提供了有关DoD IA和支持IA的设备/系统标准的关键更新。每个STIG都提供技术指导,以保护可能容易受到攻击的信息系统/软件。
国防部定期更新 STIG,以确保开发人员能够:
● 正确配置硬件和软件。
● 实施安全协议。
● 组织培训流程。
您可以使用STIG列表来识别代码中的潜在漏洞。
但使用 STIG 列表的最佳方法是将其与SAST工具配对。像Klocwork等SAST工具可以帮助工程师更快速地识别安全漏洞。
什么是DISA STIG合规级别?
DISA STIG合规级别共有三个,这里称为类别。这三种类别表明未能解决特定漏洞的风险的严重程度。
级别从重到轻,分别为:
Category I
Category I是指将直接和立即导致机密性、可用性或完整性损失的任何漏洞。此外,这些漏洞可能允许未经授权访问机密数据或设施。这可能导致拒绝服务或访问。
这些风险是最严重的。它们可能导致人员伤亡、设施损坏或任务失败。如果您不解决这些风险,您将不会获得运营授权。
唯一的例外是:
● 当系统处于临界状态时。
● 当系统使用失败可能导致任务失败时。
Category II
Category II是指任何可能导致损失机密性、可用性或完整性的漏洞。
二类漏洞可以:
● 导致 I 类漏洞。
● 导致人身伤害、设备或设施损坏。
● 降级任务。
Category III
Category III是指任何会降低保护机密性、可用性或完整性措施的漏洞。
三类漏洞可以:
● 导致II类漏洞。
● 延迟从中断中恢复。
● 影响数据和信息的准确性。
什么是DISA合规性?
实现安全编码标准的最佳方法是使用静态代码分析器—比如Klocwork。
1. 获取 Klocwork
静态代码分析器强制执行编码规则并标记安全违规行为。Klocwork带有代码安全分类规则,以确保软件安全。
每一项包括:
● 完整记录的规则执行和消息解释。
● 完全可配置的规则处理。
● 安全审计的合规报告。
2. 使用Klocwork查看STIG安全列表
运行静态分析是开发安全软件过程的重要组成部分。您可以使用它来符合IEC 61508要求。
Klocwork 还可以根据安全漏洞列表检查您的代码。它会自动标记违规行为并强制执行安全编码指南。此外,Klocwork 提供有关您代码合规性的安全报告。
使用Klocwork确保DISA STIG安全
DISA STIG安全指南对于确保软件安全来讲十分重要。使用 Klocwork 可以帮助您确保代码安全。这是因为 Klocwork 是C、C++、C#、Java 和 JavaScript编码语言最值得信赖的静态分析工具。