本文件旨在向第三方開發人員提供逐步指南,說明如何在應用程式上執行靜態或動態掃描。本文件會介紹兩種最常查看的安全性評估工具,也就是靜態掃描和動態掃描的程序。第 3 部分開發人員可能會找到每個步驟,引導他們完成自動掃描的設定步驟。第三方開發人員必須透過 CWE 對應至已提交的應用程式類型 (網頁、行動裝置、API、無伺服器、本機或瀏覽器擴充功能)

應用程式類型

第三方開發人員完成掃描後,必須將產生的掃描結果 (CSV 和 XML) 上傳至入口網站。評估人員會審查您提交的文件,並提供後續步驟的操作說明。 如要進一步瞭解評估程序,請參閱這篇文章

開發人員應掃描應用程式,看看是否有對應至 OWASP 應用程式安全性驗證標準 (ASVS) v4.0 的一組 CWE。適用的 CWE 數量因應用程式類型而異。針對 FluidAttack 和 ZAP 提供的不同設定檔,已納入所有相關的 CWE。如果這些開放原始碼工具用於掃描,開發人員只需要選取為應用程式類型建立的設定檔。不過,如果使用其他掃描工具,則開發人員必須提供證據,納入所有相關 CWE。這可以是掃描工具使用的設定檔或政策。整體而言,開發人員必須提供:

如果使用的是建議的開放原始碼掃描工具,開發人員必須提供

  • FluidAttack 或 ZAP 掃描結果的掃描結果 (CSV 或 XML 格式)。 

如果使用其他掃描工具,開發人員必須提供

  • 用於執行掃描的政策或設定檔,其中會顯示與應用程式類型相關的所有 CWE。 

  • 掃描結果為 PASS/ FAIL 格式,每個格式都對應到 CWE。也將接受只顯示「失敗」要求的掃描結果。 

  • 「評量表」的結果是根據 OWASP 基準執行 DAST 或 SAST 掃描工具而產生。

選取應用程式掃描類型

第 2 級驗證程序取決於您的應用程式掃描結果和掃描作業所使用的工具,請在下方選取您的旅程
可以掃描網頁、行動應用程式或內部應用程式、瀏覽器擴充功能或無伺服器函式的原始碼
啟動
可以掃描網站、行動應用程式或內部應用程式的完整掃描
啟動
開發人員如果想使用 CASA 建議工具以外的 SAST 和 DAST 掃描工具,就必須根據 OWASP 基準提供掃描輸出內容
啟動