Tujuan dokumen ini adalah memberikan panduan langkah demi langkah kepada developer pihak ketiga tentang cara menjalankan pemindaian statis atau dinamis pada aplikasi Anda. Dokumen ini membahas prosedur dari dua alat evaluasi keamanan yang paling umum diamati, yaitu Pemindaian Statis dan Pemindaian Dinamis. Di setiap bagian, developer pihak ketiga dapat menemukan langkah-langkah untuk memandu mereka melalui proses konfigurasi pemindaian otomatis. Developer pihak ketiga harus menyertakan CWE yang dipetakan ke jenis aplikasi yang dikirimkan (ekstensi web, seluler, API, tanpa server, lokal, atau browser)

Jenis Aplikasi

Setelah developer pihak ketiga menyelesaikan pemindaian, hasil pemindaian yang dihasilkan (CSV dan XML) harus diupload ke portal. Penilai akan meninjau dokumen yang dikirimkan dan memberikan petunjuk untuk langkah selanjutnya. Informasi selengkapnya tentang proses penilaian dapat ditemukan di sini.

Developer diharapkan memindai aplikasi mereka untuk serangkaian CWE tertentu yang dipetakan ke OWASP Application Security Verification Standard (ASVS) v4.0. Jumlah CWE yang berlaku dapat bervariasi berdasarkan jenis aplikasi. Semua CWE yang relevan telah disertakan dalam berbagai file konfigurasi yang disediakan untuk FluidAttack dan ZAP. Jika alat open source ini digunakan untuk pemindaian, developer hanya perlu memilih file konfigurasi yang dibuat untuk jenis aplikasinya. Namun, jika alat pemindaian lain digunakan, developer harus memberikan bukti bahwa semua CWE yang relevan telah disertakan. Ini dapat berupa file konfigurasi atau kebijakan yang digunakan oleh alat pemindaian. Secara keseluruhan, developer harus menyediakan hal berikut:

Jika alat pemindaian open source yang direkomendasikan digunakan, developer harus menyediakan

  • Hasil pemindaian FluidAttack atau ZAP dalam format CSV atau XML. 

Jika alat pemindaian lain digunakan, developer harus memberikan

  • File kebijakan atau konfigurasi yang digunakan untuk menjalankan pemindaian yang menampilkan semua CWE yang relevan dengan jenis aplikasi. 

  • Pindai hasil dalam format LULUS/ GAGAL, masing-masing dipetakan ke CWE. Hasil pemindaian yang hanya menampilkan persyaratan GAGAL juga akan diterima. 

  • “Kartu skor” dihasilkan dari menjalankan alat pemindaian DAST atau SAST terhadap OWASP Benchmark.

Pilih Jenis Pemindaian Aplikasi Anda

Proses verifikasi tingkat 2 bergantung pada hasil pemindaian aplikasi dan alat yang digunakan untuk pemindaian, pilih perjalanan Anda di bawah ini
Pemindaian kode sumber Aplikasi Web, Seluler, atau Internal, Ekstensi Browser, atau Fungsi Tanpa Server dapat dilakukan
Mulai
Pemindaian lengkap di Aplikasi Web, Seluler, atau Internal dapat dilakukan
Mulai
Developer yang ingin menggunakan alat pemindaian SAST dan DAST selain alat yang direkomendasikan CASA harus memberikan output pemindaian terhadap OWASP Benchmark
Mulai