इस दस्तावेज़ का मकसद, 3P डेवलपर को सिलसिलेवार तरीके से जानकारी देने वाली सिलसिलेवार गाइड उपलब्ध कराना है. इस गाइड में यह बताया गया है कि आपके ऐप्लिकेशन में स्टैटिक या डाइनैमिक तरीके से स्कैन करने की प्रोसेस को कैसे पूरा किया जाए. इस दस्तावेज़ में, सुरक्षा आकलन करने वाले दो सामान्य टूल और स्टैटिक स्कैनिंग की प्रोसेस के बारे में बताया गया है. हर सेक्शन में, 3P डेवलपर को अपने-आप स्कैन होने की सुविधा कॉन्फ़िगर करने की प्रोसेस से जुड़ी जानकारी मिल सकती है. 3P डेवलपर के लिए यह ज़रूरी है कि वे सबमिट किए गए ऐप्लिकेशन टाइप (वेब, मोबाइल, एपीआई, सर्वरलेस, लोकल या ब्राउज़र एक्सटेंशन) पर मैप किए गए सीडब्ल्यूई शामिल करें.

ऐप्लिकेशन के टाइप

3P (तीसरे पक्ष) डेवलपर के स्कैन पूरा करने के बाद, जनरेट किए गए स्कैन के नतीजे (CSV और एक्सएमएल, दोनों) को पोर्टल पर अपलोड करना होगा. जांच करने वाला व्यक्ति, सबमिट किए गए दस्तावेज़ों की समीक्षा करेगा और अगले चरणों के लिए निर्देश देगा. असेस्मेंट की प्रोसेस के बारे में ज़्यादा जानकारी यहां मिल सकती है.

डेवलपर से यह उम्मीद की जाती है कि वे अपने ऐप्लिकेशन को OWASP ऐप्लिकेशन सिक्योरिटी वेरिफ़िकेशन स्टैंडर्ड (ASVS) v4.0 पर मैप किए गए CWE के एक खास सेट के लिए स्कैन करें. लागू होने वाले सीडब्ल्यूई की संख्या, आवेदन के टाइप के हिसाब से अलग-अलग होती है. फ़्लूड अटैक और ZAP के लिए दी गई अलग-अलग कॉन्फ़िगरेशन फ़ाइलों में, सभी काम के सीडब्ल्यूई को शामिल किया गया है. अगर इन ओपन-सोर्स टूल का इस्तेमाल स्कैन करने के लिए किया जाता है, तो डेवलपर को सिर्फ़ अपने ऐप्लिकेशन के लिए बनाई गई कॉन्फ़िगरेशन फ़ाइल चुननी होगी. हालांकि, अगर किसी दूसरे स्कैनिंग टूल का इस्तेमाल किया जाता है, तो डेवलपर को इस बात का सबूत देना होगा कि काम के सभी सीडब्ल्यूई शामिल किए गए हैं. इस कॉन्फ़िगरेशन फ़ाइल या नीति को स्कैनिंग टूल इस्तेमाल कर सकता है. कुल मिलाकर, डेवलपर को नीचे दी गई जानकारी देनी होगी:

अगर सुझाए गए ओपन सोर्स स्कैनिंग टूल का इस्तेमाल किया जाता है, तो डेवलपर को

  • फ़्लूइड अटैक या ZAP स्कैन के नतीजों को CSV या एक्सएमएल फ़ॉर्मैट में स्कैन करें. 

अगर किसी दूसरे स्कैनिंग टूल का इस्तेमाल किया जाता है, तो डेवलपर को

  • स्कैन करने के लिए इस्तेमाल की जाने वाली नीति या कॉन्फ़िगरेशन फ़ाइल, जिसमें ऐप्लिकेशन टाइप के लिए काम के सभी CWE दिखाए जाते हैं. 

  • पास/ फ़ेल फ़ॉर्मैट में नतीजे स्कैन करें, हर एक को CWE में मैप किया जाए. सिर्फ़ उन ज़रूरी शर्तों को दिखाने वाले नतीजों को भी स्कैन किया जाएगा जो फ़ेल हो चुके हैं. 

  • “स्कोरकार्ड”, OWASP बेंचमार्क पर DAST या SAST स्कैनिंग टूल को चलाने का नतीजा है.

अपने ऐप्लिकेशन के स्कैन का टाइप चुनें

टियर 2 की पुष्टि करने की प्रोसेस आपके ऐप्लिकेशन के स्कैन के नतीजों पर निर्भर करती है. साथ ही, स्कैन करने के लिए इस्तेमाल किए जाने वाले टूल के आधार पर यह तय किया जाता है कि आपको आगे क्या करना है
आपके वेब, मोबाइल या अंदरूनी ऐप्लिकेशन, ब्राउज़र एक्सटेंशन या सर्वरलेस फ़ंक्शन के सोर्स कोड को स्कैन किया जा सकता है
चालू करें
वेब, मोबाइल या आंतरिक ऐप्लिकेशन पर पूरा स्कैन किया जा सकता है
चालू करें
CASA सुझाए गए टूल के अलावा, SAST और DAST स्कैनिंग टूल का इस्तेमाल करने वाले डेवलपर को OWASP बेंचमार्क के लिए स्कैन का आउटपुट देना होगा
चालू करें