Использование инструментов сканирования, отличных от предварительно настроенного CASA:
Разработчики, желающие использовать инструменты сканирования SAST и DAST (собственно разработанные или коммерческие инструменты), должны предоставить:
- Результаты сканирования по сравнению с OWASP Benchmark . Ожидается, что инструменты сканирования будут обнаруживать все действительно положительные уязвимости, которые соответствуют CASA (см. инструкции ниже).
- Политика сканирования. Это может быть экспорт конфигурации сканирования инструмента или снимок экрана, показывающий, какие CWE сканирует инструмент.
Беговой тест
Для запуска Benchmark у вас должно быть установлено следующее:
- GIT: https://git-scm.com/ или https://github.com/.
- Maven: https://maven.apache.org/ ; (Версия: 3.2.3 или новее работает.)
- Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 или 8) (64-разрядная версия)
Для целей CASA обязательно создайте и отправьте систему показателей эффективности для вашего инструмента сканирования DAST или SAST. Обратите внимание, что эталонный тест содержит большое количество тестов и сканирование может занять некоторое время.
Выполните следующие команды, чтобы загрузить и запустить приложение Benchmark:
$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava $ cd benchmark $ mvn compile $ runBenchmark.sh
Тестирование будет работать по адресу https://localhost:8443/benchmark/. Его можно использовать в качестве цели для любого сканирования DAST. Теперь вы можете запустить выбранный вами инструмент с исходным кодом Benchmark и приложением времени выполнения. Обязательно сохраните результаты в каталоге /results репозитория Benchmark.
Включите следующее в имя выходного файла для генератора карт показателей:
- Номер версии эталонного теста, чтобы предотвратить отображение неправильных ожидаемых результатов.
- Название вашего сканирующего инструмента
- Версия вашего сканера
В следующем примере имя выходного файла соответствует сканированию с использованием «toolname» версии 3.0 и сравнению с версией Benchmark 1.2.
Benchmark_1.2-toolname-v3.0.xml
Создание контрольной оценки
Benchmark оценивает приложения по четырем показателям:
- True Positives – инструмент правильно определяет реальную уязвимость.
- Ложные негативные результаты – инструмент не может выявить реальную уязвимость.
- True Negative – инструмент корректно игнорирует ложную тревогу.
- Ложный отрицательный результат – инструмент не может игнорировать ложную тревогу.
Система показателей производительности показывает, как ваш инструмент сканирования работает по этим параметрам. Когда вы загружаете инструмент Benchmark с GitHub, он включает в себя инструмент BenchmarkScore. Запуск этого инструмента на основе результатов сканирования приведет к созданию графика PNG с указанием вашего окончательного результата. Примеры результатов можно найти здесь. Чтобы создать собственные системы показателей производительности, выполните следующую команду:
sh createScorecards.sh
Это создаст систему показателей для каждого результата в каталоге /results. Созданная система показателей будет сохранена в каталоге /scorecard. Отправьте оценочную карту как часть вашей оценки CASA.