始める前に
メールに記載された手順に沿ってアカウント(最初の CASA の場合)を作成し、ログインします。
CASA の提出に必要なもの:
-
CASA Tier 2 の通知メール
-
業界の認定資格(ある場合)
-
AST 構成ファイル(スキャン ポリシーのエクスポート、CWE スキャンしたスクリーンショットのスクリーンショット、スキャンした内容の証拠など)。
-
書式なしテキスト(.txt)形式の AST スキャン結果。
カスタムツールを使用した場合:
-
OWASP ベンチマークの結果(詳細)
CASA ポータル スタートガイド
初めてポータルをご利用の場合、Tier 2 の CASA が自動的に生成されます。新しい評価は、ポータルのホームページでいつでも作成できます。
ケースを開くと、「スタートガイド 」ページが表示され、以下をリクエストします。
-
プロジェクトの連絡先名(名・姓)
-
プロジェクトの連絡先メールアドレス
-
プロジェクトの連絡先電話番号
-
法人名
-
ウェブサイト
-
評価の種類(「新規」または「再評価」)
-
アプリケーション スコープ
-
Google プロジェクト ID
この情報は、アプリケーションのスコープに含まれる CASA の要件を識別し、確認書の発行に必要なアプリ メタデータを収集するために使用されます。
注: 適格性確認の審査のために、開始から 30 日以内に CASA を提出する必要があります。期限の延長のリクエストは、個別に評価されます。
CASA ポータル Tier 2 アップロード
ステップ 1 とステップ 2 で収集したすべての証拠をアップロードします。該当するものは次のとおりです。
-
CASA が承認する既存のセキュリティ フレームワーク
-
AST 構成ファイル
-
xlsx、csv、xml、pdf 形式の AST スキャン結果
-
OWASP ベンチマークの結果(*カスタムまたは代替 AST スキャンの場合のみ)
注: セキュリティ フレームワークは CASA を高速化するためのオプションであり、検証には必要ありません。詳しくは、ステップ 1 に戻ってご覧ください。
ご不明な点がございましたら、 ポータルに統合された「メッセージ」機能を使用して、CASA スペシャリストと直接通信します。レスポンスに関するメール通知は、ポータルへのログインに使用されるメールアドレスに送信されます。
留意点: Tier 2 による確認にはコードスキャンが必要です。 検証の一環として、アプリケーション コード、スキャン結果、脆弱性の検出が Google と共有されたり、開示されたりすることはありません。
CASA ポータル自己診断アンケート
ポータルは、提供された入力を検証し、CASA のチャプターごとに整理された自己認証の残りの要件を提供します。多数のセキュリティ フレームワークで CASA を高速化する場合は、自己証明書は不要です。この場合、ポータルの自己診断アンケートの部分は表示されません。
ほとんどの場合、少数のケースでは自己認証が必要です。これらの要件に対応するため、回答するサードパーティ デベロッパーは、CASA の要件に関連する一連の「はい、いいえ、該当なし」の質問に自己証明する必要があります。
コメント フィールドは、アプリが各要件を満たしていること、または満たしていない方法をそれぞれのレスポンスで正当化するために使用できます。CASA 承認基準は、参考として一例です。
注: 「前提条件により満たされました」として自動入力された質問を変更しないでください。これらの選択は、Tier 2 アップロード セクションのレスポンスに基づいて、CASA ポータルによって自動的に選択されます。
Tier 2 による確認の対象となるには、以下の条件を満たす必要があります。
-
CASA 要件にマッピングされた失敗した CWE があれば修正する
-
スキャンできない CASA 要件の自己証明
評価の前提条件がすべて満たされると、CASA ポータルにより、デベロッパーに身元確認の提出が求められます。
最終処理