Panduan Pengujian Alat Lainnya

Menggunakan alat pemindaian selain CASA yang telah dikonfigurasi sebelumnya:

Developer yang ingin menggunakan alat pemindaian SAST dan DAST (alat yang dikembangkan secara internal atau komersial) harus memberikan:

  • Output pemindaian terhadap Tolok Ukur OWASP. Harapannya adalah alat pemindaian mendeteksi semua kerentanan positif sejati yang dipetakan ke CASA (Lihat petunjuk di bawah)
  • Kebijakan pemindaian. Ini dapat berupa ekspor konfigurasi pemindaian alat atau screenshot yang menunjukkan CWE yang dipindai alat. 

Menjalankan Benchmark 

Anda harus menginstal hal berikut untuk menjalankan Benchmark:

  1. GIT: https://git-scm.com/ atau https://github.com/
  2. Maven: https://maven.apache.org/; (Versi: 3.2.3 atau versi yang lebih baru.)
  3. Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 atau 8) (64-bit)

Untuk tujuan CASA, pastikan untuk membuat dan mengirimkan Kartu Skor Tolok Ukur untuk alat pemindaian DAST atau SAST Anda. Perhatikan bahwa Benchmark berisi banyak pengujian dan mungkin perlu waktu beberapa saat untuk dipindai. 

Jalankan perintah berikut untuk mendownload dan menjalankan aplikasi Benchmark:   

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

Benchmark akan berjalan di https://localhost:8443/benchmark/. Ini dapat digunakan sebagai target untuk pemindaian DAST apa pun. Sekarang Anda dapat menjalankan alat pilihan terhadap kode sumber Benchmark dan aplikasi runtime. Pastikan untuk menyimpan hasil di direktori /results pada repositori Benchmark. 

Sertakan hal berikut dalam nama file output untuk generator kartu skor: 

  1. Nomor versi Benchmark, untuk mencegah output yang diharapkan salah dipetakan
  2. Nama alat pemindaian Anda
  3. Versi alat pemindaian Anda 

Contoh nama file output berikut dipetakan ke pemindaian yang dijalankan menggunakan versi 3.0 “nama alat” dan dibandingkan dengan Benchmark versi 1.2.  

Benchmark_1.2-toolname-v3.0.xml

Menghasilkan Skor Tolok Ukur

Benchmark memberi skor aplikasi berdasarkan empat metrik: 

  1. Positif Benar – alat mengidentifikasi kerentanan yang sebenarnya dengan benar
  2. Negatif Palsu – alat gagal mengidentifikasi kerentanan yang sebenarnya
  3. Negatif Benar – alat mengabaikan alarm palsu dengan tepat
  4. Negatif Palsu – alat gagal mengabaikan alarm palsu

Kartu skor Benchmark menguraikan performa alat pemindaian Anda di seluruh dimensi ini. Saat Anda mendownload alat Benchmark dari GitHub, alat tersebut akan menyertakan alat BenchmarkScore. Menjalankan alat ini terhadap output pemindaian akan menghasilkan grafik PNG yang menguraikan skor akhir Anda. Contoh hasil dapat ditemukan di sini. Untuk membuat kartu skor Benchmark Anda sendiri, jalankan perintah berikut: 

sh createScorecards.sh

Tindakan ini akan membuat kartu skor untuk setiap output dalam direktori /results. Kartu skor yang dihasilkan akan disimpan dalam direktori /scorecard. Kirimkan kartu skor sebagai bagian dari penilaian CASA Anda.