הנחיות לבדיקת כלים אחרים

שימוש בכלי סריקה שאינם CASA שהוגדרו מראש:

מפתחים שרוצים להשתמש בכלי סריקה של SAST ו-DAST (כלים מסחריים או כלים שפותחו באופן פנימי) צריכים לספק:

  • פלט הסריקה בהשוואה ל-OWASP Benchmark. הציפייה היא שכלים לסריקה יזהו את כל נקודות החולשה האמיתיות שממופות ל-CASA (ראו הוראות בהמשך)
  • מדיניות הסריקה. יכול להיות שמדובר בייצוא של הגדרות הסריקה של הכלי או בצילום מסך שבו מוצגים ה-CWEs שהכלי סרקה. 

השוואה לשוק

כדי להריץ את Benchmark, צריך להתקין את הרכיבים הבאים:

  1. GIT:‏ https://git-scm.com/ או https://github.com/
  2. Maven:‏ https://maven.apache.org/ (גרסה 3.2.3 ואילך פועלת).
  3. Java:‏ https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 או 8) (64 ביט)

למטרות CASA, חשוב ליצור ולשלוח כרטיס ציונים של מדד למסגרת הבדיקה של הכלי לסריקה של DAST או SAST. חשוב לשים לב שנקודת ההשוואה כוללת מספר רב של בדיקות, והסריקה עשויה להימשך זמן מה. 

מריצים את הפקודות הבאות כדי להוריד ולהפעיל את האפליקציה של ההשוואה לשוק: 

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

נקודת ההשוואה תפעל בכתובת https://localhost:8443/benchmark/. הנתונים האלה יכולים לשמש כיעד לכל סריקות DAST. עכשיו אפשר להריץ את הכלי הרצוי מול קוד המקור של נקודת ההשוואה והאפליקציה של זמן הריצה. חשוב לשמור את התוצאות בספרייה /results של מאגר ההשוואה לשוק. 

צריך לכלול את הפרטים הבאים בשם קובץ הפלט של הכלי ליצירת כרטיסיות המידע: 

  1. מספר הגרסה של נקודת ההשוואה, כדי למנוע מיפוי של פלט צפוי שגוי
  2. השם של כלי הסריקה 
  3. הגרסה של כלי הסריקה 

בדוגמה הבאה של שם קובץ הפלט ממופה להרצת סריקה באמצעות גרסה 3.0 של 'שם הכלי' בהשוואה לגרסה 1.2 של ההשוואה לשוק.  

Benchmark_1.2-toolname-v3.0.xml

יצירת ציון של נקודת השוואה

נקודות השוואה נותנות לאפליקציות ציונים לפי ארבעה מדדים: 

  1. תוצאות חיוביות אמיתיות – הכלי מזהה נכון נקודת חולשה אמיתית
  2. תוצאות שליליות שגויות – הכלים לא מצליחים לזהות נקודת חולשה אמיתית. 
  3. 'שלילית אמיתית' – הכלי מתעלם בצורה נכונה מהתראה שקרית. 
  4. תוצאה שלילית שגויה – הכלי לא מצליח להתעלם מהתראה שקרית

כרטיס המידע על ההשוואה לשוק מתאר את הביצועים של כלי הסריקה שלך במאפיינים האלה. כשמורידים את הכלי Benchmark מ-GitHub, הוא כולל את הכלי BenchmarkScore. הפעלת הכלי הזה על פלט הסריקה תיצור תרשים PNG עם סקירה כללית של הציון הסופי. כאן תוכלו למצוא דוגמאות לתוצאות. כדי ליצור כרטיסי ניקוד משלכם של מדדי ביצועים, מריצים את הפקודה הבאה: 

sh createScorecards.sh

הפעולה הזו תיצור כרטיס מידע לכל פלט בספרייה /results. כרטיס הניקוד שנוצר יישמר בספרייה ‎/scorecard. שולחים את כרטיס המידע כחלק מהבדיקה של CASA.