Hướng dẫn quét ứng dụng
Mục đích của tài liệu này là cung cấp cho nhà phát triển bên thứ ba một hướng dẫn từng bước về cách thực hiện quét tĩnh hoặc động trên ứng dụng của bạn. Tài liệu này trình bày quy trình của hai công cụ đánh giá bảo mật quan sát phổ biến nhất và Quét tĩnh và Quét động. Trong từng phần, nhà phát triển bên thứ ba có thể tìm thấy các bước hướng dẫn họ cách định cấu hình tính năng quét tự động. Nhà phát triển bên thứ ba phải bao gồm CWE được liên kết với loại ứng dụng đã gửi (web, thiết bị di động, API, máy chủ, máy chủ, tiện ích hoặc trình duyệt mở rộng)
Sau khi nhà phát triển bên thứ ba hoàn tất quá trình quét, kết quả quét đã tạo (cả CSV và XML) phải được tải lên cổng thông tin. Người đánh giá sẽ xem xét các giấy tờ đã gửi và hướng dẫn các bước tiếp theo. Bạn có thể tìm thêm thông tin về quy trình đánh giá tại đây.
Phạm vi
Nhà phát triển cần quét các ứng dụng của họ để tìm ra một nhóm CWE cụ thể được liên kết với Tiêu chuẩn xác minh bảo mật ứng dụng OWASP phiên bản (ASVS) v4.0. Số lượng CWE có thể áp dụng sẽ khác nhau tùy theo loại ứng dụng. Tất cả các CWE có liên quan đã được đưa vào nhiều tệp cấu hình được cung cấp cho Linh Mạng và ZAP. Nếu các công cụ nguồn mở này được sử dụng để quét, thì nhà phát triển chỉ cần chọn tệp cấu hình được tạo cho loại ứng dụng của mình. Tuy nhiên, nếu dùng một công cụ quét khác, nhà phát triển phải cung cấp bằng chứng cho thấy tất cả CWE có liên quan đã được đưa vào. Đây có thể là tệp cấu hình hoặc chính sách mà công cụ quét sử dụng. Nhìn chung, các nhà phát triển cần cung cấp những thông tin sau:
Nếu sử dụng các công cụ quét nguồn mở đề xuất, nhà phát triển phải cung cấp
-
Quét kết quả của quá trình quét Linh hoạt hoặc ZAP ở định dạng CSV hoặc XML.
-
Tệp chính sách hoặc tệp cấu hình dùng để chạy bản quét cho thấy tất cả CWE có liên quan đến loại ứng dụng.
-
Quét kết quả ở định dạng PASS/ FAILED, mỗi kết quả được liên kết với một CWE. Chúng tôi cũng chấp nhận các kết quả quét chỉ hiển thị yêu cầu KHÔNG ĐẠT.
-
“Thẻ điểm” là kết quả của việc chạy công cụ quét DAST hoặc SAST so với Điểm chuẩn OWASP.