دليل البحث عن التطبيقات
ويهدف هذا المستند إلى تزويد مطوّري البرامج الخارجيين بدليل مفصّل حول كيفية تنفيذ فحص ثابت أو ديناميكي على تطبيقك. يتناول هذا المستند إجراءات الأداتين الأكثر استخدامًا لتقييمهما، وهما الفحص الثابت والفحص الديناميكي. في كل قسم، قد يعثر مطوّرو البرامج التابعون لطرف ثالث على خطوات لإرشادك خلال عملية طريقة ضبط عمليات الفحص المبرمَجة. من الضروري أن يضيف مطوّرو البرامج التابعون للأطراف الثالثة CWES المرتبطة بنوع التطبيق المُرسَل (إضافة ويب أو جهاز جوّال أو واجهة برمجة تطبيقات أو إضافة خادم بدون خادم أو محلي أو متصفح).
بعد أن يكمل مطوّرو البرامج التابعون لجهة خارجية عمليات الفحص، يجب تحميل نتيجة الفحص التي تم إنشاؤها (كل من CSV وXML) إلى المنصة. سيراجع المراجع المستندات المُرسَلة وسيقدّم تعليمات حول الخطوات التالية. يمكنك الاطّلاع هنا على مزيد من المعلومات حول عملية التقييم.
النطاق
من المتوقّع أن يفحص مطوّرو البرامج تطبيقاتهم بحثًا عن مجموعة محدّدة من برامج CWEs التي تم ضبطها على الإصدار 4.0 من معيار التحقق من أمان التطبيقات لدى OWASP. يختلف عدد CWEs السارية حسب نوع الطلب. وقد تم تضمين جميع أدوات CWE ذات الصلة في ملفات الإعداد المختلفة المتوفرة في كل من FluidAttack وZAP. في حال استخدام هذه الأدوات المفتوحة المصدر للفحص، لن يحتاج مطوّرو البرامج سوى إلى اختيار ملف الإعداد الذي تم إنشاؤه لنوع التطبيق. ومع ذلك، في حال استخدام أداة فحص أخرى، على مطوّري البرامج تقديم دليل على تضمين جميع برامج CWE ذات الصلة. قد يكون هذا الملف هو ملف الإعداد أو السياسة التي تستخدمها أداة الفحص. بشكل عام، على مطوّري البرامج تقديم ما يلي:
في حال استخدام أدوات الفحص المفتوحة المصدر المقترَحة، على مطوّري البرامج تقديم
-
يمكنك فحص نتائج فحص FluidAttack أو ZAP بتنسيق CSV أو XML.
-
ملف السياسة أو ملف الضبط المستخدَم لإجراء الفحص، والذي يعرض جميع CWES ذات الصلة بنوع التطبيق.
-
يتم فحص النتائج بتنسيق PASS/ FAIL، ويتم تعيين كل منها إلى CWE. وسيتم أيضًا قبول نتائج الفحص التي تعرض متطلبات FAILED فقط.
-
تنتج "بطاقة قياس الأداء" عن تشغيل أداة فحص DAST أو SAST مقابل مقياس أداء OWASP.