Panduan Pemindaian Aplikasi
Tujuan dokumen ini adalah memberikan panduan langkah demi langkah kepada developer pihak ketiga tentang cara menjalankan pemindaian statis atau dinamis pada aplikasi Anda. Dokumen ini membahas prosedur dari dua alat evaluasi keamanan yang paling umum diamati, yaitu Pemindaian Statis dan Pemindaian Dinamis. Di setiap bagian, developer pihak ketiga dapat menemukan langkah-langkah untuk memandu mereka melalui proses konfigurasi pemindaian otomatis. Developer pihak ketiga harus menyertakan CWE yang dipetakan ke jenis aplikasi yang dikirimkan (ekstensi web, seluler, API, tanpa server, lokal, atau browser)
Setelah developer pihak ketiga menyelesaikan pemindaian, hasil pemindaian yang dihasilkan (CSV dan XML) harus diupload ke portal. Penilai akan meninjau dokumen yang dikirimkan dan memberikan petunjuk untuk langkah selanjutnya. Informasi selengkapnya tentang proses penilaian dapat ditemukan di sini.
Cakupan
Developer diharapkan memindai aplikasi mereka untuk serangkaian CWE tertentu yang dipetakan ke OWASP Application Security Verification Standard (ASVS) v4.0. Jumlah CWE yang berlaku dapat bervariasi berdasarkan jenis aplikasi. Semua CWE yang relevan telah disertakan dalam berbagai file konfigurasi yang disediakan untuk FluidAttack dan ZAP. Jika alat open source ini digunakan untuk pemindaian, developer hanya perlu memilih file konfigurasi yang dibuat untuk jenis aplikasinya. Namun, jika alat pemindaian lain digunakan, developer harus memberikan bukti bahwa semua CWE yang relevan telah disertakan. Ini dapat berupa file konfigurasi atau kebijakan yang digunakan oleh alat pemindaian. Secara keseluruhan, developer harus menyediakan hal berikut:
Jika alat pemindaian open source yang direkomendasikan digunakan, developer harus menyediakan
-
Hasil pemindaian FluidAttack atau ZAP dalam format CSV atau XML.
-
File kebijakan atau konfigurasi yang digunakan untuk menjalankan pemindaian yang menampilkan semua CWE yang relevan dengan jenis aplikasi.
-
Pindai hasil dalam format LULUS/ GAGAL, masing-masing dipetakan ke CWE. Hasil pemindaian yang hanya menampilkan persyaratan GAGAL juga akan diterima.
-
“Kartu skor” dihasilkan dari menjalankan alat pemindaian DAST atau SAST terhadap OWASP Benchmark.