Antes de começar
Siga as instruções enviadas por e-mail para criar uma conta (se essa for sua primeira CASA) e faça login.
O que você precisa para enviar sua CASA:
-
E-mail de notificação de CASA de nível 2
-
Certificações do setor (se houver)
-
Arquivos de configuração AST, que podem ser uma exportação da política de verificação, capturas de tela dos CWEs verificados ou qualquer evidência que mostre o que você verificou.
-
Resultados da verificação AST no formato de texto simples (.txt).
Se você usou ferramentas personalizadas:
-
Resultados do comparativo de mercado do OWASP (mais informações)
Introdução ao Portal do CASA
Para novos usuários do portal, um CASA de nível 2 é gerado automaticamente.Novas avaliações podem ser criadas a qualquer momento na página inicial do portal.
Abrir um caso leva a uma página Primeiros passos que solicita o seguinte:
-
Nome do contato do projeto (nome e sobrenome)
-
E-mail de contato do projeto
-
Telefone de contato do projeto
-
Nome da pessoa jurídica
-
Site
-
Tipo de avaliação ("Nova" ou "Reavaliação")
-
Escopo do aplicativo
-
ID do projeto do Google
Essas informações são usadas para identificar quais requisitos de CASA estão no escopo do seu aplicativo e coletar os metadados necessários para emitir uma carta de verificação.
OBSERVAÇÃO : uma CASA precisa ser enviada para análise de verificação em até 30 dias após o início. As solicitações de extensão de prazo são avaliadas caso a caso.
Uploads do nível 2 do portal do CASA
Faça upload de todas as evidências coletadas nas etapas 1 e 2. Isso inclui o seguinte:
-
Estruturas de segurança aceitas pelo CASA
-
Arquivos de configuração AST
-
Resultados da verificação AST no formato xlsx, csv, xml ou pdf
-
Resultados da comparação do OWASP (*somente para verificações AST personalizadas ou alternativas)
OBSERVAÇÃO: os frameworks de segurança são opcionais para acelerar o CASA e não são obrigatórios para a verificação. Volte à Etapa 1 para mais detalhes.
Precisa de ajuda? Use o recurso integrado "Mensagens" no portal para se comunicar diretamente com um especialista em CASA. As notificações por e-mail para respostas são enviadas para o endereço de e-mail usado para fazer login no portal.
LEMBRETE: a leitura de código é necessária para a verificação do nível 2. Nenhum código de aplicativo, resultados de verificação ou descobertas de vulnerabilidade são compartilhados ou divulgados ao Google como parte da verificação.
Pesquisa de autodeclaração para o Portal do CASA
O portal validará as entradas fornecidas e apresentará o conjunto de requisitos restantes para autocertificação, organizado por capítulos do CASA. Para usuários que aceleram o CASA com um grande número de frameworks de segurança, a autocertificação pode não ser necessária. Nesses casos, a parte da pesquisa de autoatendimento do portal não será exibida.
Na maioria dos casos, haverá um pequeno número de requisitos que exigem a autocertificação. Para esses requisitos, o desenvolvedor de terceiros precisará responder a uma série de perguntas "Sim, Não, N/A" relacionadas aos requisitos do CASA.
Há um campo de comentário disponível para o desenvolvedor justificar cada resposta com o modo como o aplicativo atende ou não a um determinado requisito. Os critérios de aceitação do CASA são um conjunto de exemplos não exaustivos de referência.
OBSERVAÇÃO : não modifique perguntas preenchidas automaticamente como "Cumpridas pelo pré-requisito". Essas escolhas são selecionadas automaticamente pelo portal do CASA com base nas respostas da seção "Uploads de nível 2".
Para se qualificar para a verificação de nível 2, você precisa:
-
Corrija os CWEs com falha que estejam mapeados para os requisitos do CASA
-
Autoatestado para requisitos de CASA não verificáveis
Depois que todos os pré-requisitos de avaliação forem atendidos o Portal do CASA pedirá que um desenvolvedor envie a verificação.
Finalizar