Antes de começar
Siga as instruções enviadas por e-mail para criar uma conta (se esta for sua primeira CASA) e fazer login.
O que você precisa para enviar sua CASA:
-
E-mail de notificação da CASA de nível 2
-
Certificações do setor (se houver)
-
Arquivos de configuração do AST, que podem ser uma exportação da política de verificação, capturas de tela dos CWEs verificados ou qualquer evidência mostrando o que você verificou.
-
Resultado(s) da verificação de AST em formato de texto simples (.txt).
Se você usou ferramentas personalizadas:
-
Resultados do comparativo de mercado do OWASP (mais informações)
Introdução ao portal CASA
Para usuários do portal pela primeira vez, uma CASA de nível 2 será gerada automaticamente. É possível criar novas avaliações a qualquer momento na página inicial do portal.
A abertura de um caso leva a uma página Primeiros passos que solicita as seguintes informações:
-
Nome do contato do projeto (nome e sobrenome)
-
E-mail de contato do projeto
-
Telefone de contato do projeto
-
Nome da pessoa jurídica
-
Site
-
Tipo de avaliação ("Nova" ou "Reavaliação")
-
Escopo do aplicativo
-
ID do projeto do Google
Essas informações são usadas para identificar quais requisitos do CASA estão no escopo do seu aplicativo e coletar os metadados necessários para emitir uma carta de verificação.
OBSERVAÇÃO : é preciso enviar uma CASA para análise de verificação no prazo de 30 dias após o início. As solicitações de extensão do prazo são avaliadas caso a caso.
Uploads de nível 2 do Portal CASA
Faça upload de todas as evidências coletadas nas etapas 1 e 2. Isso inclui:
-
Estruturas de segurança atuais aceitas pela CASA
-
Arquivo(s) de configuração AST
-
Resultado(s) da verificação de AST nos formatos xlsx, csv, xml ou pdf
-
Resultados de comparativo de mercado do OWASP (*somente para verificações de AST personalizadas ou alternativas)
OBSERVAÇÃO: os frameworks de segurança são opcionais para acelerar sua CASA e não são necessários para a verificação. Consulte a etapa 1 para mais detalhes.
Precisa de ajuda? Use o recurso integrado "Mensagens" no portal para se comunicar diretamente com um especialista do CASA. As notificações por e-mail para respostas são enviadas para o endereço de e-mail usado para fazer login no portal.
LEMBRETE: a leitura de código é necessária para a verificação de nível 2. Nenhum código de aplicativo, resultado de verificação ou descoberta de vulnerabilidade é compartilhado ou divulgado ao Google como parte da verificação.
Pesquisa de autocertificação do portal da CASA
O portal vai validar as informações fornecidas e fornecer o conjunto de requisitos restantes para autodeclaração, organizados por capítulos do CASA. Para usuários que aceleram a CASA com um grande número de frameworks de segurança, a autodeclaração pode não ser necessária. Nesses casos, a parte da pesquisa de autodeclaração do portal não vai aparecer.
Na maioria dos casos, haverá um pequeno número de requisitos que exigem autoatestado. Para esses requisitos, o desenvolvedor terceirizado precisa autodeclarar uma série de perguntas "Sim, Não, N/A" relacionadas aos requisitos do CASA.
Um campo de comentário está disponível para que o desenvolvedor justifique cada resposta com a forma como o aplicativo atende ou não a um determinado requisito. Os critérios de aceitação do CASA fornecem um conjunto não exaustivo de exemplos como referência.
OBSERVAÇÃO: não modifique as perguntas preenchidas automaticamente como "Cumprida por pré-requisito". Essas opções são selecionadas automaticamente pelo portal CASA com base nas respostas na seção "Envios de nível 2".
Para se qualificar para a verificação de nível 2, é necessário:
-
Corrigir todos os CWEs com falha que são mapeados para os requisitos do CASA
-
Autodeclaração para requisitos não verificáveis do CASA
Depois que todos os pré-requisitos de avaliação forem concluídos, o Portal CASA vai solicitar que o desenvolvedor envie para verificação.
Finalizar