Hướng dẫn kiểm thử các công cụ khác

Sử dụng các công cụ quét khác ngoài CASA được định cấu hình sẵn:

Nhà phát triển muốn sử dụng các công cụ quét SAST và DAST (công cụ phát triển nội bộ hoặc công cụ thương mại) phải cung cấp:

  • Kết quả quét theo Điểm chuẩn OWASP. Dự kiến là các công cụ quét sẽ phát hiện tất cả các lỗ hổng dương tính thực sự liên kết với CASA (Xem hướng dẫn bên dưới)
  • Chính sách quét. Đây có thể là tệp xuất của cấu hình quét công cụ hoặc ảnh chụp màn hình cho biết công cụ đã quét những CWE nào. 

Chạy phép đo điểm chuẩn 

Bạn phải cài đặt các ứng dụng sau để chạy Điểm chuẩn:

  1. GIT: https://git-scm.com/ hoặc https://github.com/
  2. Maven: https://maven.apache.org/; (Phiên bản: 3.2.3 trở lên.)
  3. Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 hoặc 8) (64-bit)

Để phục vụ mục đích CASA, hãy nhớ tạo và gửi Thẻ điểm điểm chuẩn cho công cụ quét DAST hoặc SAST của bạn. Xin lưu ý rằng Điểm chuẩn chứa rất nhiều bài kiểm thử và có thể mất chút thời gian để quét. 

Chạy các lệnh sau để tải xuống và chạy ứng dụng Benchmark (Điểm chuẩn):   

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

Điểm chuẩn sẽ chạy tại https://localhost:8443/benchmark/. Bạn có thể sử dụng URL này làm mục tiêu cho mọi lượt quét DAST. Giờ đây, bạn có thể chạy công cụ mình chọn dựa trên mã nguồn Điểm chuẩn và ứng dụng thời gian chạy. Hãy nhớ lưu kết quả trong thư mục /results của kho lưu trữ Điểm chuẩn. 

Thêm nội dung sau vào tên tệp đầu ra cho trình tạo thẻ điểm: 

  1. Số phiên bản Điểm chuẩn để ngăn việc liên kết kết quả dự kiến không chính xác
  2. Tên công cụ quét của bạn 
  3. Phiên bản của công cụ quét 

Tên tệp đầu ra mẫu sau đây liên kết với một lượt quét chạy bằng phiên bản 3.0 của "toolname" và so sánh với Benchmark phiên bản 1.2.  

Benchmark_1.2-toolname-v3.0.xml

Tạo điểm chuẩn

Điểm chuẩn cho ứng dụng dựa trên 4 chỉ số: 

  1. True Positives – công cụ xác định chính xác một lỗ hổng thực sự
  2. Kết quả âm tính giả – các công cụ không xác định được một lỗ hổng thực sự 
  3. True negative – công cụ bỏ qua chính xác cảnh báo giả
  4. Kết quả âm tính giả – công cụ không bỏ qua cảnh báo giả

Thẻ điểm điểm chuẩn tóm tắt hiệu suất của công cụ quét theo các phương diện này. Khi bạn tải công cụ Benchmark (Điểm chuẩn) xuống từ GitHub, công cụ này sẽ bao gồm một công cụ BenchmarkScore. Việc chạy công cụ này dựa trên kết quả quét sẽ tạo ra một biểu đồ PNG trình bày điểm số cuối cùng của bạn. Bạn có thể xem kết quả mẫu tại đây. Để tạo thẻ điểm Điểm chuẩn của riêng bạn, hãy chạy lệnh sau: 

sh createScorecards.sh

Thao tác này sẽ tạo một thẻ điểm cho mỗi kết quả trong thư mục /results. Thẻ điểm được tạo sẽ được lưu trong thư mục /scorecard. Gửi thẻ điểm này trong quá trình đánh giá CASA.