คำแนะนำในการทดสอบเครื่องมืออื่นๆ

การใช้เครื่องมือสแกนอื่นที่ไม่ใช่ CASA ที่กําหนดค่าไว้ล่วงหน้า

นักพัฒนาแอปที่ต้องการใช้เครื่องมือสแกน SAST และ DAST (เครื่องมือที่พัฒนาขึ้นเองหรือเครื่องมือเชิงพาณิชย์) จะต้องระบุข้อมูลต่อไปนี้

  • เอาต์พุตการสแกนเทียบกับ OWASP Benchmark การคาดการณ์นี้มีไว้เพื่อเครื่องมือสแกนเพื่อตรวจหาช่องโหว่ที่เป็นบวกจริงทั้งหมดซึ่งแมปกับ CASA (ดูวิธีการด้านล่าง)
  • นโยบายการสแกน ซึ่งอาจเป็นการส่งออกการกำหนดค่าการสแกนของเครื่องมือ หรือภาพหน้าจอที่แสดง CWE ที่เครื่องมือสแกน 

การเปรียบเทียบที่ทํางานอยู่ 

คุณต้องติดตั้งสิ่งต่อไปนี้เพื่อเรียกใช้การเปรียบเทียบ

  1. GIT: https://git-scm.com/ หรือ https://github.com/
  2. Maven: https://maven.apache.org/ (เวอร์ชัน 3.2.3 ขึ้นไปใช้ได้)
  3. Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 หรือ 8) (64 บิต)

อย่าลืมสร้างและส่งตารางสรุปสถิติการเปรียบเทียบสำหรับเครื่องมือสแกน DAST หรือ SAST เพื่อวัตถุประสงค์ของ CASA โปรดทราบว่าการเปรียบเทียบมีจำนวนการทดสอบจํานวนมากและอาจใช้เวลาสักครู่ในการสแกน 

เรียกใช้คำสั่งต่อไปนี้เพื่อดาวน์โหลดและเรียกใช้แอปพลิเคชันการเปรียบเทียบ   

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

การเปรียบเทียบจะทํางานอยู่ที่ https://localhost:8443/benchmark/ ค่านี้อาจใช้เป็นเป้าหมายสำหรับการสแกน DAST ทั้งหมดได้ ตอนนี้คุณสามารถเรียกใช้เครื่องมือที่ต้องการกับซอร์สโค้ดและรันไทม์แอปพลิเคชันของข้อมูลเปรียบเทียบได้แล้ว อย่าลืมบันทึกผลลัพธ์ในไดเรกทอรี /results ของที่เก็บการเปรียบเทียบ 

ใส่ข้อมูลต่อไปนี้ในชื่อไฟล์เอาต์พุตสำหรับโปรแกรมสร้างตารางสรุปสถิติ

  1. หมายเลขเวอร์ชันของข้อมูลเปรียบเทียบเพื่อป้องกันไม่ให้ระบบแมปเอาต์พุตที่คาดไว้ไม่ถูกต้อง
  2. ชื่อเครื่องมือสแกน 
  3. เวอร์ชันของเครื่องมือสแกน

ตัวอย่างชื่อไฟล์เอาต์พุตต่อไปนี้จะจับคู่กับการสแกนที่ใช้ "ชื่อเครื่องมือ" เวอร์ชัน 3.0 และเปรียบเทียบกับเวอร์ชัน 1.2 ของข้อมูลเปรียบเทียบ  

Benchmark_1.2-toolname-v3.0.xml

การสร้างคะแนนการเปรียบเทียบ

การเปรียบเทียบจะประเมินแอปพลิเคชันตามเมตริก 4 รายการต่อไปนี้ 

  1. True Positives - เครื่องมือระบุช่องโหว่จริงได้อย่างถูกต้อง
  2. ผลลบที่ผิดพลาด – เครื่องมือไม่พบช่องโหว่จริง 
  3. ผลลบจริง – เครื่องมือจะละเว้นการปลุกที่ผิดพลาดอย่างถูกต้อง
  4. ผลลบเท็จ – เครื่องมือไม่สนใจการแจ้งเตือนที่ผิดพลาด

ตารางสรุปสถิติการเปรียบเทียบจะแสดงประสิทธิภาพของเครื่องมือสแกนตามมิติข้อมูลเหล่านี้ เมื่อคุณดาวน์โหลดเครื่องมือการเปรียบเทียบจาก GitHub เครื่องมือดังกล่าวจะมีเครื่องมือ BenchmarkScore ด้วย การใช้เครื่องมือนี้กับเอาต์พุตการสแกนจะสร้างกราฟ PNG ที่แสดงคะแนนสุดท้าย ดูตัวอย่างผลลัพธ์ได้ที่นี่ หากต้องการสร้างตารางสรุปสถิติการเปรียบเทียบของคุณเอง ให้เรียกใช้คำสั่งต่อไปนี้ 

sh createScorecards.sh

การดำเนินการนี้จะสร้างตารางสรุปสถิติสำหรับเอาต์พุตแต่ละรายการภายในไดเรกทอรี /results ระบบจะบันทึกตารางสรุปสถิติที่สร้างขึ้นภายในไดเรกทอรี /scorecard ส่งตารางสรุปสถิติเป็นส่วนหนึ่งของการประเมิน CASA