Önceden yapılandırılmış CASA dışındaki tarama araçlarını kullanma:
SAST ve DAST tarama araçlarını (şirket içinde geliştirilmiş veya ticari araçlar) kullanmak isteyen geliştiriciler şunları sağlamalıdır:
- OWASP Karşılaştırması'na göre tarama çıkışı. Tarama araçlarının, CASA ile eşleşen tüm doğru pozitif güvenlik açıklarını tespit etmesi beklenir (Aşağıdaki talimatları inceleyin)
- Tarama politikası. Bu, araç tarama yapılandırmasının dışa aktarılması veya aracın hangi CWE'leri taradığını gösteren bir ekran görüntüsü olabilir.
Karşılaştırma Çalıştırma
Karşılaştırmayı çalıştırmak için aşağıdakilerin yüklü olması gerekir:
- GIT: https://git-scm.com/ veya https://github.com/
- Maven: https://maven.apache.org/; (Sürüm: 3.2.3 veya daha yeni sürümler kullanılabilir.)
- Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 veya 8) (64 bit)
CASA amacıyla, DAST veya SAST tarama aracınız için bir Karşılaştırma Puan Kartı oluşturup gönderdiğinizden emin olun. Karşılaştırmanın çok sayıda test içerdiğini ve taramanın biraz zaman alabileceğini lütfen unutmayın.
Karşılaştırma uygulamasını indirip çalıştırmak için aşağıdaki komutları çalıştırın:
$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava $ cd benchmark $ mvn compile $ runBenchmark.sh
Karşılaştırma, https://localhost:8443/benchmark/ adresinde çalışır. Bu, tüm DAST taramaları için hedef olarak kullanılabilir. Artık istediğiniz aracı Karşılaştırma kaynak koduyla ve çalışma süresi uygulamasıyla karşılaştırabilirsiniz. Sonuçlarınızı, karşılaştırma deposunun /results dizinine kaydettiğinizden emin olun.
Puan kartı oluşturucunun çıkış dosya adınızı şu şekilde belirtin:
- Yanlış beklenen çıkışların eşlenmesini önlemek için karşılaştırma sürümü numarası
- Tarama aracınızın adı
- Tarama aracınızın sürümü
Aşağıdaki örnek çıkış dosyası adı, "toolname" aracının 3.0 sürümü kullanılarak çalıştırılan bir taramayla eşlenir ve karşılaştırma 1.2 sürümüyle karşılaştırılır.
Benchmark_1.2-toolname-v3.0.xml
Karşılaştırma Puanı Oluşturma
Karşılaştırma, uygulamaları dört metriğe göre puanlar:
- Gerçek pozitifler: Aracı, gerçek bir güvenlik açığını doğru şekilde tanımlar
- Yanlış negatifler: Araçlar gerçek bir güvenlik açığını tespit edemez.
- Doğru Negatif: Araç, yanlış alarmı doğru şekilde yok sayar
- Yanlış Negatif: Araç, yanlış alarmı yok sayamaz.
Karşılaştırma puan kartı, tarama aracınızın bu boyutlarda nasıl performans gösterdiğini özetler. GitHub'dan indirdiğiniz Benchmark aracı, BenchmarkScore aracını da içerir. Bu aracı tarama çıkışınıza uyguladığınızda nihai puanınızın özetini gösteren bir PNG grafiği oluşturulur. Örnek sonuçları burada bulabilirsiniz. Kendi karşılaştırma puan kartlarınızı oluşturmak için aşağıdaki komutu çalıştırın:
sh createScorecards.sh
Bu işlem, /results dizinindeki her çıkış için bir puan kartı oluşturur. Oluşturulan puan kartı /scorecard dizinine kaydedilir. CASA değerlendirmenizin bir parçası olarak puan kartını gönderin.