CASA প্রি-কনফিগার করা ছাড়া অন্য স্ক্যানিং টুল ব্যবহার করা:
বিকাশকারীরা যারা SAST এবং DAST স্ক্যানিং সরঞ্জামগুলি (অভ্যন্তরীণভাবে উন্নত বা বাণিজ্যিক সরঞ্জাম) ব্যবহার করতে চান তাদের অবশ্যই প্রদান করতে হবে:
- OWASP বেঞ্চমার্কের বিরুদ্ধে স্ক্যান আউটপুট। CASA-তে ম্যাপ করা সমস্ত সত্যিকারের ইতিবাচক দুর্বলতা সনাক্ত করার জন্য স্ক্যানিং সরঞ্জামগুলির প্রত্যাশা (নীচের নির্দেশাবলী দেখুন)
- স্ক্যান নীতি। এটি টুল স্ক্যানিং কনফিগারেশনের রপ্তানি হতে পারে বা একটি স্ক্রিনশট যা দেখায় যে কোন CWE-এর বিরুদ্ধে টুলটি স্ক্যান করা হয়েছে।
বেঞ্চমার্ক চলমান
বেঞ্চমার্ক চালানোর জন্য আপনাকে অবশ্যই নিম্নলিখিতগুলি ইনস্টল করতে হবে:
- GIT: https://git-scm.com/ বা https://github.com/
- মাভেন: https://maven.apache.org/ ; (সংস্করণ: 3.2.3 বা নতুন কাজ।)
- জাভা: https://www.oracle.com/java/technologies/javase-downloads.html (জাভা 7 বা 8) (64-বিট)
CASA উদ্দেশ্যে, আপনার DAST বা SAST স্ক্যানিং টুলের জন্য একটি বেঞ্চমার্ক স্কোরকার্ড তৈরি এবং জমা দিতে ভুলবেন না। অনুগ্রহ করে মনে রাখবেন যে বেঞ্চমার্কে প্রচুর সংখ্যক পরীক্ষা রয়েছে এবং স্ক্যান করতে কিছুটা সময় লাগতে পারে।
বেঞ্চমার্ক অ্যাপ্লিকেশনটি ডাউনলোড এবং চালানোর জন্য নিম্নলিখিত কমান্ডগুলি চালান:
$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava $ cd benchmark $ mvn compile $ runBenchmark.sh
বেঞ্চমার্ক https://localhost:8443/benchmark/ এ চলবে। এটি যেকোনো DAST স্ক্যানের লক্ষ্য হিসেবে ব্যবহার করা যেতে পারে। এখন আপনি বেঞ্চমার্ক সোর্স কোড এবং রান টাইম অ্যাপ্লিকেশনের বিরুদ্ধে আপনার পছন্দের টুলটি চালাতে পারেন। বেঞ্চমার্ক সংগ্রহস্থলের /results ডিরেক্টরিতে আপনার ফলাফল সংরক্ষণ করতে ভুলবেন না।
স্কোরকার্ড জেনারেটরের জন্য আপনার আউটপুট ফাইলের নামের মধ্যে নিম্নলিখিতগুলি অন্তর্ভুক্ত করুন:
- বেঞ্চমার্ক সংস্করণ নম্বর, ভুল প্রত্যাশিত আউটপুট ম্যাপ করা থেকে প্রতিরোধ করতে
- আপনার স্ক্যানিং টুলের নাম
- আপনার স্ক্যানিং টুলের সংস্করণ
নিম্নলিখিত উদাহরণ আউটপুট ফাইলের নাম "টুলনেম" এর সংস্করণ 3.0 ব্যবহার করে একটি স্ক্যানে ম্যাপ করে এবং বেঞ্চমার্ক সংস্করণ 1.2 এর সাথে তুলনা করে।
Benchmark_1.2-toolname-v3.0.xml
একটি বেঞ্চমার্ক স্কোর তৈরি করা হচ্ছে
বেঞ্চমার্ক চারটি মেট্রিকের বিপরীতে অ্যাপ্লিকেশন স্কোর করে:
- সত্য ইতিবাচক - টুলটি সঠিকভাবে একটি বাস্তব দুর্বলতা সনাক্ত করে
- মিথ্যা নেতিবাচক - সরঞ্জামগুলি প্রকৃত দুর্বলতা সনাক্ত করতে ব্যর্থ হয়
- সত্য নেতিবাচক - টুলটি সঠিকভাবে একটি মিথ্যা অ্যালার্ম উপেক্ষা করে
- মিথ্যা নেতিবাচক - টুলটি একটি মিথ্যা অ্যালার্ম উপেক্ষা করতে ব্যর্থ হয়
বেঞ্চমার্ক স্কোরকার্ড রূপরেখা দেয় কিভাবে আপনার স্ক্যানিং টুল এই মাত্রা জুড়ে কাজ করে। আপনি যখন GitHub থেকে বেঞ্চমার্ক টুল ডাউনলোড করেন, এতে একটি বেঞ্চমার্কস্কোর টুল অন্তর্ভুক্ত থাকে। আপনার স্ক্যান আউটপুটের বিরুদ্ধে এই টুলটি চালানোর ফলে আপনার চূড়ান্ত স্কোরের রূপরেখা একটি PNG গ্রাফ তৈরি হবে। উদাহরণ ফলাফল এখানে পাওয়া যাবে. আপনার নিজস্ব বেঞ্চমার্ক স্কোরকার্ড তৈরি করতে, নিম্নলিখিত কমান্ডটি চালান:
sh createScorecards.sh
এটি /results ডিরেক্টরির মধ্যে প্রতিটি আউটপুটের জন্য একটি স্কোরকার্ড তৈরি করবে। জেনারেট করা স্কোরকার্ড /স্কোরকার্ড ডিরেক্টরির মধ্যে সংরক্ষণ করা হবে। আপনার CASA মূল্যায়নের অংশ হিসাবে স্কোরকার্ড জমা দিন।