始める前に
メールに記載されている手順に沿ってアカウントを作成(初めて CASA を使用する場合)し、ログインします。
CASA の提出に必要なもの:
-
CASA Tier 2 通知メール
-
業界の認定資格(ある場合)
-
AST 構成ファイル。スキャン ポリシーのエクスポート、スキャンされた CWE のスクリーンショット、スキャン対象を示している証拠などです。
-
書式なしテキスト(.txt)形式の AST スキャン結果。
カスタムツールを使用した場合:
-
OWASP ベンチマークの結果(詳細)
CASA ポータルのスタートガイド
初めてのポータル ユーザーの場合、Tier 2 CASA が自動的に生成されます。新しい評価は、ポータルのホームページからいつでも作成できます。
ケースを作成すると、[スタートガイド ] ページが表示され、以下をリクエストすることができます。
-
プロジェクトの連絡先名(名・姓)
-
プロジェクトの連絡先メールアドレス
-
プロジェクト連絡先の電話番号
-
法人名
-
ウェブサイト
-
[Assessment Type(評価タイプ)]([New] または [Reassessment])
-
アプリケーション スコープ
-
Google プロジェクト ID
この情報は、アプリの対象範囲内の CASA 要件を特定し、確認書を発行するために必要なアプリのメタデータを収集するために使用されます。
注: CASA は、開始から 30 日以内に確認審査のために提出する必要があります。期限延長のリクエストはケースバイケースで審査されます。
CASA ポータルの Tier 2 アップロード
ステップ 1 とステップ 2 で収集したすべての裏付け資料をアップロードします。以下が該当します。
-
CASA が承認している既存のセキュリティ フレームワーク
-
AST 構成ファイル
-
AST スキャン結果(xlsx、csv、xml、pdf 形式)
-
OWASP ベンチマーク結果(*カスタム AST スキャンまたは代替 AST スキャンのみ)
注: セキュリティ フレームワークは CASA を高速化するためのオプションであり、検証に必須ではありません。詳しくは、ステップ 1 を参照してください。
ご不明な点がございましたら、 ポータルに統合された「メッセージ」機能を使用して、CASA スペシャリストと直接やり取りできます。回答に関するメール通知は、ポータルへのログインに使用したメールアドレスに送信されます。
リマインダー: Tier 2 の確認にはコードスキャンが必要です。 検証作業の一環として、アプリケーション コード、スキャン結果、脆弱性の検出結果が Google に共有または開示されることはありません。
CASA ポータルの自己診断アンケート
ポータルは、指定された入力を検証し、自己証明に必要な残りの要件を CASA の章別に表示します。多数のセキュリティ フレームワークで CASA を高速化するユーザーの場合、自己構成証明は不要な場合があります。このような場合、ポータルの自己証明書アンケートの部分は表示されません。
ほとんどの場合、自己構成証明が必要な要件は少数です。これらの要件について、回答するサードパーティ デベロッパーは、CASA 要件に関連する一連の「はい、いいえ、該当なし」の質問に自己診断する必要があります。
コメント フィールドを使用すると、デベロッパーは、アプリが特定の要件を満たしているかどうかについて、各回答を正当化できます。CASA の承認基準には、参考として例がすべて示されていますが、すべてを網羅しているわけではありません。
注: 「前提条件によって満たされている」として自動的に入力された質問は変更しないでください。これらの選択肢は、[Tier 2 Uploads] セクションの回答に基づいて、CASA ポータルによって自動的に選択されます。
Tier 2 の確認を受けるには、次の要件を満たす必要があります。
-
CASA 要件にマッピングされている失敗した CWE を修復します
-
スキャンできない CASA 要件に関する自己診断
評価の前提条件がすべて十分に完了すると、CASA ポータルに、確認のために送信するようデベロッパーに求めるメッセージが表示されます。
確定