إرشادات بشأن اختبار الأدوات الأخرى

استخدام أدوات فحص غير أداة CASA التي تم ضبطها مسبقًا:

على المطوّرين الذين يريدون استخدام أدوات فحص SAST وDAST (أدوات تجارية أو مطورة داخليًا) تقديم ما يلي:

  • نتائج الفحص مقارنةً بمقياس أداء OWASP. من المتوقع أن يتم من خلال أدوات الفحص اكتشاف جميع الثغرات الأمنية الإيجابية الحقيقية التي ترتبط بـ CASA (انظر التعليمات أدناه).
  • سياسة الفحص يمكن أن يكون ذلك تصديرًا لإعدادات فحص الأداة أو لقطة شاشة تعرض نقاط ضعف CWE التي تم فحص الأداة بحثًا عنها. 

مقياس الأداء أثناء التشغيل 

يجب أن تكون العناصر التالية مثبّتة لتشغيل "مقاييس الأداء":

  1. ‫GIT: https://git-scm.com/ أو https://github.com/
  2. Maven: https://maven.apache.org/ (الإصدار 3.2.3 أو الإصدارات الأحدث)
  3. ‫Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 أو 8) (64 بت)

لأغراض تتعلّق بمعيار CASA، تأكَّد من إنشاء "بطاقة قياس الأداء" وإرسالها لأداة مسح DAST أو SAST. يُرجى العلم بأنّ مقياس الأداء يحتوي على عدد كبير من الاختبارات وقد يستغرق بعض الوقت لفحصه. 

نفِّذ الأوامر التالية لتنزيل تطبيق Benchmark وتشغيله:   

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

سيتم تشغيل مقياس الأداء على https://localhost:8443/Benchmark/. يمكن استخدام هذا العنوان كهدف لأي عمليات فحص DAST. يمكنك الآن تشغيل أداتك المفضّلة على رمز مصدر "مقياس الأداء" وتطبيق وقت التشغيل. احرص على حفظ النتائج في الدليل ‎/results ضمن مستودع Benchmark . 

أدرِج ما يلي في اسم ملف الإخراج الخاص بأداة إنشاء بطاقة قياس الأداء: 

  1. رقم إصدار مقياس الأداء، وذلك لمنع ربط النتائج المتوقّعة غير الصحيحة
  2. اسم أداة المسح الضوئي 
  3. إصدار أداة المسح الضوئي 

يرتبط المثال التالي لاسم ملف الإخراج بفحص تم إجراؤه باستخدام الإصدار 3.0 من "toolname" ويتم مقارنته بالإصدار 1.2 من Benchmark.  

Benchmark_1.2-toolname-v3.0.xml

إنشاء نتيجة قياس الأداء

تُحتسب نتائج قياس الأداء للتطبيقات استنادًا إلى أربعة مقاييس: 

  1. النتائج الموجبة الصائبة: ترصد الأداة بشكل صحيح ثغرة أمنية حقيقية
  2. النتائج السلبية الخاطئة: تعذُّر على الأدوات رصد ثغرة حقيقية
  3. سلبي صحيح: تتجاهل الأداة بشكل صحيح إنذارًا كاذبًا 
  4. نتيجة خاطئة سلبية: تعذّر على الأداة تجاهل إنذار خاطئ

توضّح بطاقة قياس الأداء مستوى أداء أداة المسح على مستوى هذه السمات. عند تنزيل أداة Benchmark من GitHub، تتضمّن أداة BenchmarkScore. عند استخدام هذه الأداة مقابل نتائج الفحص، سيتم إنشاء رسم بياني بتنسيق PNG لمعرفة النتيجة النهائية. يمكنك الاطّلاع على أمثلة على النتائج هنا. لإنشاء بطاقات قياس أداء قياس الأداء، شغِّل الأمر التالي: 

sh createScorecards.sh

سيؤدي هذا إلى إنشاء بطاقة قياس أداء لكل ناتج داخل دليل /results. سيتم حفظ بطاقة الأداء التي تم إنشاؤها في الدليل ‎/scorecard . أرسِل بطاقة قياس الأداء كجزء من تقييم CASA.