本文档旨在向第三方开发者提供有关如何对您的应用执行静态或动态扫描的分步指南。本文档介绍了两种最常观察的安全评估工具(静态扫描和动态扫描)的程序。在每个部分中,第三方开发者都可以找到引导他们完成自动扫描配置过程的步骤。第三方开发者必须包含映射到其提交的应用类型(Web、移动、API、无服务器、本地或浏览器扩展程序)的 CWE

应用类型

第三方开发者完成扫描后,生成的扫描结果(CSV 和 XML)需要上传到门户。评估员会审核您提交的文件,并提供后续步骤说明。如需详细了解评估流程,请点击此处

开发者应扫描其应用,以查找映射到 OWASP 应用安全验证标准 (ASVS) v4.0 的一组特定 CWE。适用的 CWE 数量因应用类型而异。所有相关的 CWE 都已包含在为 FluidAttack 和 ZAP 提供的各种配置文件中。如果这些开源工具用于扫描,开发者只需选择为其应用类型创建的配置文件。不过,如果使用其他扫描工具,开发者必须提供证据,证明所有相关 CWE 均已包含在内。这可以是扫描工具使用的配置文件或政策。总体而言,开发者需要提供以下信息:

如果使用推荐的开源扫描工具,开发者必须提供

  • 扫描 CSV 或 XML 格式的 FluidAttack 或 ZAP 扫描结果。 

如果您使用了其他扫描工具,开发者必须提供

  • 用于运行扫描的政策或配置文件,其中显示与应用类型相关的所有 CWE。 

  • 以 PASS/ FAIL 格式扫描结果,每一项都映射到 CWE。系统还会显示仅显示为 FAILED 要求的扫描结果。 

  • “统计信息摘要”是根据 OWASP 基准运行 DAST 或 SAST 扫描工具生成的。

选择您的应用扫描类型

第 2 级验证流程取决于您的应用扫描结果和用于扫描的工具,请在下面选择适合您的流程
可以扫描 Web、移动应用或内部应用、浏览器扩展程序或无服务器函数的源代码
开始
可以对 Web、移动应用或内部应用执行全面扫描
开始
如果开发者希望使用 SAST 和 DAST 扫描工具,而不是 CASA 推荐的工具,则必须根据 OWASP 基准提供扫描输出
开始