Bu belgenin amacı, 3. taraf geliştiricilere uygulamanızda statik veya dinamik bir taramayı nasıl gerçekleştirecekleri ile ilgili adım adım açıklamalı bir kılavuz sağlamaktır. Bu belgede, en sık gözlemlenen iki güvenlik değerlendirme aracının Statik Tarama ve Dinamik Tarama ile ilgili prosedürleri yer alır. Her bölümde 3. taraf geliştiriciler, otomatik taramaları yapılandırmayla ilgili adımlarda kendilerine yol gösterecek adımlar bulabilir. Üçüncü taraf geliştiricilerin, gönderdikleri uygulama türleriyle (web, mobil, API, sunucusuz, yerel veya tarayıcı uzantısı) eşlenmiş CWE'leri dahil etmeleri gerekir

Uygulama Türleri

Üçüncü taraf geliştiriciler taramaları tamamladıktan sonra, oluşturulan tarama sonucunun (CSV ve XML) portala yüklenmesi gerekir. Bir inceleyici, gönderilen dokümanları inceler ve sonraki adımlarla ilgili talimatları sağlar. Değerlendirme süreci hakkında daha fazla bilgiyi burada bulabilirsiniz.

Geliştiricilerin, uygulamalarını OWASP Uygulama Güvenliği Doğrulama Standardı (ASVS) 4.0 sürümüyle eşleştirilmiş belirli bir CWE grubu için taramaları beklenir. Geçerli CWE sayısı, uygulama türüne göre değişir. İlgili tüm CWE'ler, FluidAttack ve ZAP için sağlanan çeşitli yapılandırma dosyalarına dahil edilmiştir. Bu açık kaynak araçlar tarama için kullanılıyorsa yalnızca geliştiricilerin uygulama türleri için oluşturulan yapılandırma dosyasını seçmeleri gerekir. Ancak başka bir tarama aracı kullanılırsa geliştiriciler ilgili tüm CWE'lerin dahil edildiğine dair kanıt sağlamalıdır. Bu, tarama aracı tarafından kullanılan yapılandırma dosyası veya politika olabilir. Genel olarak geliştiricilerin aşağıdakileri sağlaması gerekir:

Önerilen açık kaynak tarama araçları kullanılırsa geliştiriciler

  • FluidAttack veya ZAP taramasının sonuçlarını CSV veya XML biçiminde tarayın. 

Başka bir tarama aracı kullanılıyorsa geliştiricilerin

  • Taramayı çalıştırmak için kullanılan, uygulama türüyle ilgili tüm CWE'leri gösteren politika veya yapılandırma dosyası. 

  • Sonuçları, her biri CWE ile eşlenmiş bir PAS/ FAIL biçiminde tarayın. Yalnızca FAILED koşullarını gösteren tarama sonuçları da kabul edilir. 

  • "Puan kartı", DAST veya SAST tarama aracının OWASP Karşılaştırması'na göre çalıştırılmasından kaynaklanır.

Uygulama Tarama Türünüzü Seçin

2. katman doğrulama işleminiz, uygulama tarama sonuçlarınıza ve taramanız için kullandığınız araca bağlıdır. Aşağıdan yolculuk seçin
Web, Mobil veya Dahili Uygulamalarınız, Tarayıcı Uzantılarınız ya da Sunucusuz İşlevlerinizin kaynak kodunu tarayabilirsiniz
Başlat
Web, Mobil veya Dahili Uygulamalarda tam tarama yapılabilir
Başlat
CASA tarafından önerilen araçların dışında SAST ve DAST tarama araçları kullanmak isteyen geliştiricilerin, tarama çıktısını OWASP Karşılaştırması'na göre sağlamaları gerekir
Başlat