시작하기 전에
이메일로 전송되는 안내에 따라 계정을 만들고 (첫 번째 CASA인 경우) 로그인합니다.
CASA 제출 요건:
-
CASA Tier 2 알림 이메일
-
업종 인증 (있는 경우)
-
AST 구성 파일), 검사 정책의 내보내기, 검사한 CWE의 스크린샷, 검사 결과를 보여주는 증거가 될 수 있습니다.
-
AST 스캔 결과는 일반 텍스트(.txt) 형식입니다.
맞춤 도구를 사용한 경우:
-
OWASP 벤치마크 결과 (추가 정보)
CASA 포털 시작하기
포털을 처음 사용하는 경우 Tier 2 CASA가 자동으로 생성됩니다.포털 홈페이지에서 언제든지 새로운 평가를 만들 수 있습니다.
케이스를 열면 시작하기 페이지로 이동하여 다음을 요청합니다.
-
프로젝트 담당자 이름 (성과 이름)
-
프로젝트 담당자 이메일
-
프로젝트 담당자 전화번호
-
법인 이름
-
웹사이트
-
평가 유형 ('신규' 또는 '재평가')
-
애플리케이션 범위
-
Google 프로젝트 ID
이 정보는 애플리케이션의 범위에 속하는 CASA 요구사항을 식별하고 확인 문서를 발급하는 데 필요한 앱 메타데이터를 수집하는 데 사용됩니다.
참고: 인증을 시작한 지 30일 이내에 CASA를 제출해야 합니다. 기한 연장 요청은 사례별로 평가됩니다.
CASA 포털 Tier 2 업로드
1단계와 2단계에서 수집한 모든 증거를 업로드합니다. 구체적인 사항은 다음과 같습니다.
-
기존 CASA 수락 보안 프레임워크
-
AST 구성 파일
-
xlsx, csv, xml 또는 pdf 형식의 AST 스캔 결과
-
OWASP 벤치마크 결과 (*맞춤 또는 대체 AST 검사에만 해당)
참고: 보안 프레임워크는 CASA 속도를 높이기 위한 선택사항이며 인증에는 필요하지 않습니다. 자세한 내용은 1단계를 다시 참고하세요.
궁금한 점이 있으시면 포털에 통합된 '메시지' 기능을 사용하여 CASA 전문가와 직접 소통할 수 있습니다. 응답에 대한 이메일 알림은 포털에 로그인하는 데 사용되는 이메일 주소로 전송됩니다.
알림: Tier 2 인증에 코드 스캔이 필요합니다. 애플리케이션 코드, 검사 결과, 취약점 발견 항목은 인증 과정에서 Google에 공유되거나 공개되지 않습니다.
CASA 포털 자체 증명 설문조사
포털은 제공된 입력을 검증하고 CASA 챕터별로 구성된 자체 증명에 관한 나머지 요구사항 집합을 제공합니다. 다수의 보안 프레임워크로 CASA를 가속화하는 사용자의 경우 자체 증명이 필요하지 않을 수 있습니다. 이 경우 포털의 자체 증명 설문조사 부분이 표시되지 않습니다.
대부분의 경우 자체 증명이 필요한 요구사항이 적습니다. 이러한 요구사항에 대응하기 위해 응답 서드 파티 개발자는 CASA 요구사항과 관련된 일련의 '예, 아니요, 해당 사항 없음' 질문을 자체 증명해야 합니다.
의견 필드를 통해 애플리케이션이 각 요구사항을 정당화하고 애플리케이션이 특정 요구사항을 어떻게 충족하는지 또는 충족하지 않는지 확인할 수 있습니다. CASA 승인 기준은 참고의 전체 목록이 아닙니다.
참고: '기본 요건으로 처리됨'이라고 표시된 질문을 자동으로 수정하지 마세요. 이러한 선택 항목은 Tier 2 업로드 섹션의 응답에 따라 CASA 포털에서 자동으로 선택됩니다.
Tier 2 인증을 받으려면 다음 요건을 충족해야 합니다.
-
CASA 요구사항에 매핑된 실패한 CWE 해결
-
스캔할 수 없는 CASA 요구사항에 대한 자체 증명
모든 평가 기본 요건을 충분히 완료하면 CASA 포털에서 개발자에게 확인을 위해 제출하라는 메시지를 표시합니다.
완료