این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

راهنمای تست ابزارهای دیگر

استفاده از ابزارهای اسکن غیر از CASA از پیش پیکربندی شده:

توسعه دهندگانی که می خواهند از ابزارهای اسکن SAST و DAST (ابزارهای توسعه یافته داخلی یا تجاری) استفاده کنند باید موارد زیر را ارائه دهند:

خروجی اسکن در مقابل معیار OWASP . انتظار این است که ابزارهای اسکن تمام آسیب پذیری های مثبت واقعی را که به CASA نگاشت می شوند، شناسایی کنند (دستورالعمل های زیر را ببینید)
سیاست اسکن این می تواند صادراتی از پیکربندی اسکن ابزار یا یک عکس از صفحه نمایش باشد که نشان می دهد ابزار با کدام CWE اسکن کرده است.

در حال اجرا محک

برای اجرای Benchmark باید موارد زیر را نصب کنید:

GIT: https://git-scm.com/ یا https://github.com/
Maven: https://maven.apache.org/ ; (نسخه: 3.2.3 یا آثار جدیدتر.)
جاوا: https://www.oracle.com/java/technologies/javase-downloads.html (جاوا 7 یا 8) (64 بیت)

برای اهداف CASA، مطمئن شوید که یک کارت امتیازی معیار برای ابزار اسکن DAST یا SAST خود ایجاد و ارسال کنید. لطفاً توجه داشته باشید که معیار شامل تعداد زیادی آزمایش است و ممکن است اسکن آن مدتی طول بکشد.

برای دانلود و اجرای برنامه Benchmark دستورات زیر را اجرا کنید:

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

بنچمارک در https://localhost:8443/benchmark/ اجرا خواهد شد. این می تواند به عنوان هدف برای هر اسکن DAST استفاده شود. اکنون می‌توانید ابزار انتخابی خود را در برابر کد منبع بنچمارک و برنامه زمان اجرا اجرا کنید. مطمئن شوید که نتایج خود را در فهرست /results مخزن بنچمارک ذخیره کنید.

موارد زیر را در نام فایل خروجی خود برای تولید کننده کارت امتیازی وارد کنید:

شماره نسخه بنچمارک، برای جلوگیری از ترسیم خروجی های مورد انتظار اشتباه
نام ابزار اسکن شما
نسخه ابزار اسکن شما

مثال زیر نام فایل خروجی را به اسکنی که با استفاده از نسخه 3.0 «نام ابزار» اجرا می‌شود، نگاشت و با معیار نسخه 1.2 مقایسه می‌شود.

Benchmark_1.2-toolname-v3.0.xml

ایجاد امتیاز معیار

بنچمارک به برنامه ها در برابر چهار معیار امتیاز می دهد:

True Positives – ابزار به درستی یک آسیب پذیری واقعی را شناسایی می کند
منفی های کاذب - ابزارها نمی توانند آسیب پذیری واقعی را شناسایی کنند
True Negative - ابزار به درستی هشدار نادرست را نادیده می گیرد
منفی کاذب - ابزار نمی تواند هشدار نادرست را نادیده بگیرد

کارت امتیازی معیار نحوه عملکرد ابزار اسکن شما در این ابعاد را مشخص می کند. وقتی ابزار Benchmark را از GitHub دانلود می‌کنید، شامل یک ابزار BenchmarkScore می‌شود. اجرای این ابزار در برابر خروجی اسکن شما، یک نمودار PNG ایجاد می کند که امتیاز نهایی شما را مشخص می کند. نتایج نمونه را می توان در اینجا یافت. برای ایجاد کارت امتیازی بنچمارک خود، دستور زیر را اجرا کنید:

sh createScorecards.sh

این یک کارت امتیازی برای هر خروجی در فهرست /results ایجاد می کند. کارت امتیازی ایجاد شده در دایرکتوری /scorecard ذخیره می شود. کارت امتیازی را به عنوان بخشی از ارزیابی CASA خود ارسال کنید.