L'objectif de ce document est de fournir aux développeurs tiers un guide par étapes sur l'exécution d'une analyse statique ou dynamique sur votre application. Ce document décrit les procédures d'analyse statique et d'analyse dynamique. Dans chaque section, les développeurs tiers peuvent trouver des instructions pour les guider dans la configuration des analyses automatisées. Les développeurs tiers doivent inclure les fichiers CWE mappés au type d'application envoyé (Web, mobile, API, sans serveur, local ou extension du navigateur).

Types d'applications

Une fois que les développeurs tiers ont terminé les analyses, le résultat de l'analyse généré (CSV et XML) doit être importé sur le portail. Un évaluateur examinera les documents envoyés et fournira les instructions pour les étapes suivantes. Pour en savoir plus sur le processus d'évaluation, cliquez ici.

Les développeurs doivent analyser leurs applications à la recherche d'un ensemble spécifique de CWE mappés à la version 4.0 de l'OWASP Application Security Verification Standard (ASVS). Le nombre de CWE applicables dépend du type d'application. Tous les CWE pertinents ont été inclus dans les différents fichiers de configuration fournis pour FluidAttack et ZAP. Si ces outils Open Source sont utilisés pour l'analyse, il suffit aux développeurs de sélectionner le fichier de configuration créé pour leur type d'application. Toutefois, si un autre outil d'analyse est utilisé, les développeurs doivent fournir la preuve que tous les CWE pertinents ont été inclus. Il peut s'agir du fichier de configuration ou de la règle utilisée par l'outil d'analyse. Dans l'ensemble, les développeurs doivent fournir les éléments suivants:

Si vous utilisez les outils d'analyse Open Source recommandés, les développeurs doivent vous fournir

  • Résultats de l'analyse FluidAttack ou ZAP au format CSV ou XML. 

Si vous utilisez un autre outil d'analyse, les développeurs doivent fournir les éléments suivants :

  • Fichier de stratégie ou de configuration utilisé pour exécuter l'analyse qui affiche tous les CWE pertinents pour le type d'application. 

  • Analysez les résultats au format PASS/ FAIL, chacun étant mappé à un CWE. Les résultats d'analyse qui n'affichent que les exigences FAILED seront également acceptés. 

  • Le "tableau de données" résulte de l'exécution de l'outil d'analyse DAST ou SAST par rapport au benchmark OWASP.

Sélectionner le type d'analyse de votre application

Votre processus de validation de niveau 2 dépend des résultats de l'analyse de votre application et de l'outil que vous avez utilisé pour l'analyse. Sélectionnez votre parcours ci-dessous.
Vous pouvez analyser le code source de vos applications Web, mobiles ou internes, de vos extensions de navigateur ou de vos fonctions sans serveur.
Démarrer
Vous pouvez effectuer une analyse complète sur le Web, les applications mobiles ou les applications internes.
Démarrer
Les développeurs qui souhaitent utiliser les outils d'analyse SAST et DAST autres que les outils recommandés du CASA doivent fournir le résultat de l'analyse par rapport au benchmark OWASP
Démarrer