এই নথির উদ্দেশ্য হল 3P ডেভেলপারদের একটি ধাপে ধাপে নির্দেশিকা প্রদান করা যাতে আপনার অ্যাপ্লিকেশনে একটি স্ট্যাটিক বা গতিশীল স্ক্যান চালানো যায়। এই দস্তাবেজটি দুটি সর্বাধিক পর্যবেক্ষণ করা নিরাপত্তা মূল্যায়ন সরঞ্জাম স্ট্যাটিক স্ক্যানিং এবং ডায়নামিক স্ক্যানিংয়ের পদ্ধতিগুলিকে কভার করে। প্রতিটি বিভাগে, 3P বিকাশকারীরা কীভাবে স্বয়ংক্রিয় স্ক্যান কনফিগার করতে হয় তার প্রক্রিয়ার মাধ্যমে তাদের গাইড করার জন্য পদক্ষেপগুলি খুঁজে পেতে পারে। 3P ডেভেলপারদের জন্য তাদের জমা দেওয়া আবেদনের প্রকারে (ওয়েব, মোবাইল, API, সার্ভারহীন, স্থানীয়, বা ব্রাউজার এক্সটেনশন) ম্যাপ করা CWEs অন্তর্ভুক্ত করা প্রয়োজন।

অ্যাপের ধরন

একবার 3P বিকাশকারীরা স্ক্যানগুলি সম্পূর্ণ করলে, জেনারেট করা স্ক্যান ফলাফল (CSV এবং XML উভয়ই) পোর্টালে আপলোড করতে হবে। একজন মূল্যায়নকারী জমা দেওয়া নথিগুলি পর্যালোচনা করবেন এবং পরবর্তী পদক্ষেপের জন্য নির্দেশাবলী প্রদান করবেন। মূল্যায়ন প্রক্রিয়া সম্পর্কে আরও তথ্য এখানে পাওয়া যাবে।

ব্যাপ্তি

OWASP অ্যাপ্লিকেশন সিকিউরিটি ভেরিফিকেশন স্ট্যান্ডার্ড (ASVS) v4.0-এ ম্যাপ করা CWE-এর একটি নির্দিষ্ট সেটের জন্য ডেভেলপাররা তাদের অ্যাপ্লিকেশন স্ক্যান করবেন বলে আশা করা হচ্ছে। আবেদনের প্রকারের উপর ভিত্তি করে প্রযোজ্য CWE-এর সংখ্যা পরিবর্তিত হয়। FluidAttack এবং ZAP-এর জন্য প্রদত্ত বিভিন্ন কনফিগারেশন ফাইলে সমস্ত প্রাসঙ্গিক CWE-কে অন্তর্ভুক্ত করা হয়েছে। যদি এই ওপেন-সোর্স টুলগুলি স্ক্যান করার জন্য ব্যবহার করা হয়, তাহলে ডেভেলপারদের শুধুমাত্র তাদের অ্যাপ্লিকেশন ধরনের জন্য তৈরি করা কনফিগারেশন ফাইল নির্বাচন করতে হবে। যদি অন্য স্ক্যানিং টুল ব্যবহার করা হয়, তবে, ডেভেলপারদের অবশ্যই প্রমাণ দিতে হবে যে সমস্ত প্রাসঙ্গিক CWE অন্তর্ভুক্ত ছিল। এটি স্ক্যানিং টুল দ্বারা ব্যবহৃত কনফিগারেশন ফাইল বা নীতি হতে পারে। সামগ্রিকভাবে, বিকাশকারীদের নিম্নলিখিতগুলি সরবরাহ করতে হবে:

প্রস্তাবিত ওপেন সোর্স স্ক্যানিং টুল ব্যবহার করা হলে, ডেভেলপারদের অবশ্যই প্রদান করতে হবে

  • CSV বা XML ফর্ম্যাটে FluidAttack বা ZAP স্ক্যানের ফলাফল স্ক্যান করুন।

অন্য স্ক্যানিং টুল ব্যবহার করা হলে, ডেভেলপারদের অবশ্যই প্রদান করতে হবে

  • স্ক্যান চালানোর জন্য ব্যবহৃত নীতি বা কনফিগারেশন ফাইল যা অ্যাপ্লিকেশন প্রকারের জন্য প্রাসঙ্গিক সমস্ত CWEs দেখায়।

  • একটি পাস/ফেল ফর্ম্যাটে ফলাফল স্ক্যান করুন, প্রতিটি একটি CWE-তে ম্যাপ করা হয়েছে। স্ক্যান ফলাফল যা শুধুমাত্র ব্যর্থ প্রয়োজনীয়তা দেখায় তাও গ্রহণ করা হবে।

  • OWASP বেঞ্চমার্কের বিরুদ্ধে DAST বা SAST স্ক্যানিং টুল চালানোর ফলে "স্কোরকার্ড" পাওয়া যায়।

আপনার অ্যাপ্লিকেশন স্ক্যান টাইপ নির্বাচন করুন

আপনার স্তর 2 যাচাইকরণ প্রক্রিয়া আপনার অ্যাপ্লিকেশন স্ক্যান ফলাফল এবং আপনার স্ক্যানের জন্য আপনি যে টুল ব্যবহার করেছেন তার উপর নির্ভর করে, নীচে আপনার যাত্রা নির্বাচন করুন
আপনার ওয়েব, মোবাইল, বা অভ্যন্তরীণ অ্যাপ্লিকেশন, ব্রাউজার এক্সটেনশন, বা সার্ভারহীন ফাংশনগুলির সোর্স কোড স্ক্যান করা যেতে পারে
শুরু করুন
ওয়েব, মোবাইল বা অভ্যন্তরীণ অ্যাপ্লিকেশনগুলিতে একটি সম্পূর্ণ স্ক্যান করা যেতে পারে
শুরু করুন
বিকাশকারীরা যারা CASA প্রস্তাবিত সরঞ্জামগুলি ছাড়া SAST এবং DAST স্ক্যানিং সরঞ্জামগুলি ব্যবহার করতে চান তাদের অবশ্যই OWASP বেঞ্চমার্কের বিরুদ্ধে স্ক্যান আউটপুট প্রদান করতে হবে
শুরু করুন