DISA的應用程式安全和開發STIG,V6R3合規報告
此報告顯示了在您的應用程式中,針對DISA的應用程式安全和開發STIG,第6版,第3次發布,所發現的合規問題。《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中,儘早採用這些準則。
摘要
應用程式安全與開發(ASD)安全技術實施指南(STIG)被發佈為一種工具,以增強國防部(DoD)資訊系統的安全性。
涵蓋的資訊
應用程式安全性和開發STIG旨在適用於所有透過網路連接的企業應用程式。這包括安裝在桌面電腦上的客戶端應用程式,這些應用程式建立與遠端系統的網路連接,HTML和基於瀏覽器的應用程式由眾多網路技術和架構組成,包括Java、JavaScript、.NET、雲端、基於RESTful的和面向SOA的網路服務。
本指南是所有由國防部開發、設計和管理的企業應用程式和系統連接到國防部網絡的必備要求。企業應用程式(EA)被定義為一種應用程式或軟體,供組織使用以協助執行組織的使命或達成組織的目標或任務。雖然有些EA可能會在單一系統上運行,具有不同程度的冗餘或容錯能力,但許多EA通常性質複雜、可擴展、對任務至關重要,並分佈在多個系統上。管理人員也可以根據他們自己的標準或運營情況,選擇將某個應用程式指定為關鍵任務,並認為其值得獲得EA狀態。STIG 並不適用於腳本(無論是管理用途或其他用途)、防火牆或其他具有應用管理介面的網路設備,當相關產品 STIG 或技術 SRG 已經存在時。這些要求旨在協助應用程式開發計劃經理、應用程式設計師/開發人員、資訊系統安全經理(ISSMs)、資訊系統安全官員(ISSOs)和系統管理員(SAs)配置和維護其應用程式的安全控制。
受保實體
根據國防部指導(DoDI)8500.01的要求,「所有接收、處理、存儲、顯示或傳輸國防部信息的IT系統必須[…]配置[…]與適用的國防部網絡安全政策、標準和架構一致」,並指派國防信息系統局(DISA)「開發和維護控制相關標識符(CCIs)、安全需求指南(SRGs)、安全技術實施指南(STIGs)、以及實施並符合國防部網絡安全政策、標準、架構、安全控制和驗證程序的移動代碼風險類別和使用指南,並在可能的情況下使用自動化,並得到NSA/CSS的支持,並使用來自利益相關者的輸入。」本文件是根據DoDI 8500.01的授權提供的。
將 AppScan 和應用程式安全性與開發 STIG
這份 AppScan 合規報告將幫助您了解和定位可能因當前掃描應用程式的安全狀態而存在的合規問題。這份相符性報告使用 STIG 需求 ID,來參照 STIG 需求。此外,相符性報告還包含出現在 STIG 中的 STIG 需求嚴重性層次:
- Category I (CAT I) - 任何漏洞,其利用將直接且立即導致機密性、可用性或完整性喪失。
- 第二類(CAT II)- 任何可能導致機密性、可用性或完整性喪失的漏洞。
- 第三類(CAT III)- 任何存在的漏洞,會降低保護措施以防止機密性、可用性或完整性損失。
| 小節 | 說明 |
|---|---|
| V-222425, SV-222425r508029_rule: CAT I | 應用程式必須根據適用的存取控制政策,強制執行已批准的邏輯存取資訊和系統資源的授權。 |
| V-222430, SV-222430r849431_rule: CAT I | 應用程式必須在不需要過多帳戶權限的情況下執行。 |
| V-222522, SV-222522r508029_rule: CAT I | 應用程式必須唯一識別和驗證組織用戶(或代表組織用戶行事的程序)。 |
| V-222542, SV-222542r508029_rule: 類別 I | 應用程式必須僅儲存密碼的加密表示。 |
| V-222596, SV-222596r849486_rule: CAT I | 應用程式必須保護傳輸資訊的機密性和完整性。 |
| V-222601, SV-222601r849491_rule: CAT I | 應用程式不得在隱藏欄位中儲存敏感資訊。 |
| V-222602, SV-222602r561263_rule: CAT I | 應用程式必須防止跨站腳本(XSS)漏洞。 |
| V-222604, SV-222604r508029_rule: CAT I | 應用程式必須防止命令注入。 |
| V-222607, SV-222607r508029_rule: CAT I | 應用程式必須不易受到SQL注入攻擊的影響。 |
| V-222608, SV-222608r508029_rule: CAT I | 應用程式必須不易受到XML導向攻擊的影響。 |
| V-222609, SV-222609r864578_rule: CAT I | 應用程式不得存在輸入處理漏洞。 |
| V-222612, SV-222612r864579_rule: CAT I | 應用程式必須不易受到溢位攻擊的影響。 |
| V-222662, SV-222662r864444_rule: CAT I | 預設密碼必須更改。 |
| V-222642, SV-222642r849509_rule: CAT I | 設計師將確保應用程式不包含嵌入式身份驗證資料。 |
| V-222388, SV-222388r849416_rule: CAT II | 應用程式必須在會話終止時清除臨時存儲和 cookies。 |
| V-222391, SV-222391r849419_rule: CAT II | 需要用戶訪問身份驗證的應用程式必須提供用戶發起的通訊會話的登出功能。 |
| V-222396, SV-222396r508029_rule: CAT II | 應用程式必須實施國防部批准的加密技術,以保護遠端訪問會話的機密性。 |
| V-222397, SV-222397r508029_rule: CAT II | 應用程式必須實施加密機制以保護遠端訪問會話的完整性。 |
| V-222406, SV-222406r508029_rule: CAT II | 應用程式必須確保當 SessionIndex 與隱私數據相關聯時,消息是加密的。 |
| V-222429, SV-222429r849430_rule: CAT II | 應用程式必須防止非特權用戶執行特權功能,包括禁用、規避或更改已實施的安全防護措施/對策。 |
| V-222513, SV-222513r864575_rule: CAT II | 應用程式必須具備防止安裝修補程式、服務包或應用程式元件的能力,除非已驗證該軟體元件已使用組織認可和批准的證書進行數位簽章。 |
| V-222515, SV-222515r508029_rule: CAT II | 必須進行應用程式漏洞評估。 |
| V-222517, SV-222517r849455_rule: CAT II | 應用程式必須採用拒絕所有、例外允許(白名單)政策,以允許授權的軟體程式執行。 |
| V-222518, SV-222518r508029_rule: CAT II | 應用程式必須配置以禁用非必要功能。 |
| V-222523, SV-222523r508029_rule: CAT II | 應用程式必須使用多因素(Alt.令牌)身份驗證用於網絡訪問特權帳戶。 |
| V-222524, SV-222524r849458_rule: CAT II | 應用程式必須接受個人身份驗證(PIV)憑證。 |
| V-222525, SV-222525r849459_rule: CAT II | 應用程式必須以電子方式驗證個人身份驗證(PIV)憑證。 |
| V-222576, SV-222576r508029_rule: CAT II | 應用程式必須在會話 cookie 上設置安全標記。 |
| V-222577, SV-222577r508029_rule: CAT II | 應用程式不得暴露會話 ID。 |
| V-222579, SV-222579r508029_rule: CAT II | 應用程式必須使用系統生成的會話標識符,以防止會話固定攻擊。 |
| V-222581, SV-222581r508029_rule: CAT II | 應用程式不得使用嵌入在 URL 中的會話 ID。 |
| V-222582, SV-222582r508029_rule: CAT II | 應用程式不得重複使用或回收會話 ID。 |
| V-222593, SV-222593r864576_rule: CAT II | 基於 XML 的應用程式必須透過使用 XML 過濾器、解析器選項或閘道來減輕 DoS 攻擊。 |
| V-222594, SV-222594r561257_rule: CAT II | 應用程式必須限制對自身或其他資訊系統發動拒絕服務(DoS)攻擊的能力。 |
| V-222600, SV-222600r849490_rule: CAT II | 應用程式不得向用戶透露不必要的資訊。 |
| V-222603, SV-222603r508029_rule: CAT II | 應用程式必須防範跨站請求偽造(CSRF)漏洞。 |
| V-222606, SV-222606r508029_rule: CAT II | 應用程式必須驗證所有輸入。 |
| V-222610, SV-222610r508029_rule: CAT II | 應用程式必須生成錯誤訊息,提供必要的資訊以便進行修正行動,但不透露可能被攻擊者利用的資訊。 |
| V-222614, SV-222614r849497_rule: CAT II | 安全相關的軟體更新和補丁必須保持最新。 |
| V-222642, SV-222642r508029_rule: CAT II | 應用程式不得包含嵌入式身份驗證資料。 |
| V-222656, SV-222656r864438_rule: CAT II | 應用程式必須避免錯誤處理漏洞。 |
| V-222667, SV-222667r864449_rule: CAT II | 必須實施防範DoS攻擊的保護措施。 |
相關信息
要了解更多有關 DoD 應用程式安全和開發 STIG 的資訊,請造訪:安全技術實施指南 (STIGs) – DoD 網路交換平台