시작하기 전에
이메일로 전송된 안내에 따라 계정을 만들고(첫 번째 CASA인 경우) 로그인합니다.
CASA 제출 시 필요한 항목:
-
CASA Tier 2 알림 이메일
-
업계 인증(있는 경우)
-
AST 구성 파일: 스캔 정책의 내보내기, 스캔된 CWE의 스크린샷 또는 스캔한 항목을 보여주는 증거일 수 있습니다.
-
일반 텍스트(.txt) 형식의 AST 검사 결과입니다.
커스텀 도구를 사용한 경우:
-
OWASP 벤치마크 결과 (추가 정보)
CASA 포털 시작하기
포털을 처음 사용하는 경우 Tier 2 CASA가 자동으로 생성됩니다. 포털 홈페이지에서 언제든지 새 평가를 만들 수 있습니다.
케이스를 열면 다음을 요청하는 시작하기 페이지가 표시됩니다.
-
프로젝트 담당자 이름 (성과 이름)
-
프로젝트 담당자 이메일
-
프로젝트 연락처 전화번호
-
법인 이름
-
웹사이트
-
평가 유형('신규' 또는 '재평가')
-
애플리케이션 범위
-
Google 프로젝트 ID
이 정보는 신청 범위에 해당하는 CASA 요구사항을 식별하고 확인서를 발급하는 데 필요한 앱 메타데이터를 수집하는 데 사용됩니다.
참고: 인증 검토를 위해 CASA는 시작 후 30일 이내에 제출해야 합니다. 기한 연장 요청은 케이스별로 평가됩니다.
CASA 포털 Tier 2 업로드
1단계와 2단계에서 수집한 모든 증거를 업로드합니다. 여기에는 다음이 포함됩니다.
-
기존 CASA에서 허용되는 보안 프레임워크
-
AST 구성 파일
-
xlsx, csv, xml 또는 pdf 형식의 AST 스캔 결과
-
OWASP 벤치마크 결과(*맞춤 또는 대체 AST 스캔만 해당)
참고: 보안 프레임워크는 CASA 가속화를 위한 선택사항이며 인증에 필요하지 않습니다. 자세한 내용은 1단계를 다시 참고하세요.
궁금한 점이 있으시면 포털 내 통합된 '메시지' 기능을 사용하여 CASA 전문가와 직접 소통할 수 있습니다. 응답에 대한 이메일 알림은 포털에 로그인하는 데 사용된 이메일 주소로 전송됩니다.
알림: Tier 2 인증에는 코드 스캔이 필요합니다. 인증의 일환으로 애플리케이션 코드, 스캔 결과 또는 취약점 발견사항이 Google과 공유되거나 공개되지 않습니다.
CASA 포털 자체 증명 설문조사
포털은 제공된 입력을 검증하며 CASA 챕터별로 구성된 자체 증명의 나머지 요구사항 집합을 제공합니다. 많은 수의 보안 프레임워크로 CASA를 가속화하는 사용자의 경우 자체 증명이 필요하지 않을 수 있습니다. 이 경우 포털의 자체 증명 설문조사 부분이 표시되지 않습니다.
대부분의 경우 자체 증명이 필요한 요구사항은 소수에 불과합니다. 이러한 요구사항에 따라 응답하는 서드 파티 개발자는 CASA 요구사항과 관련된 일련의 '예, 아니요, 해당 사항 없음' 질문에 대해 자체 증명해야 합니다.
개발자는 주석 필드를 사용하여 애플리케이션이 지정된 요구사항을 충족하는지 여부를 각 응답에 근거하여 설명할 수 있습니다. CASA 수락 기준은 참고용으로 일부 예시를 제공합니다.
참고: '선행 조건으로 충족됨'으로 자동 입력된 질문은 수정하지 마세요. 이러한 선택사항은 Tier 2 업로드 섹션의 응답에 따라 CASA 포털에서 자동으로 선택됩니다.
Tier 2 인증을 받으려면 다음 요건을 충족해야 합니다.
-
CASA 요구사항에 매핑된 실패한 CWE를 수정합니다.
-
스캔할 수 없는 CASA 요구사항 자체 증명
모든 평가 기본 요건이 충분히 완료되면 CASA 포털에서 개발자에게 인증을 위해 제출하라는 메시지를 표시합니다.
완료