Прежде чем вы начнете
Следуйте инструкциям по электронной почте, чтобы создать учетную запись (если это ваш первый CASA) и войти в систему.
Что вам понадобится для отправки CASA:
Уведомление по электронной почте CASA уровня 2
Отраслевые сертификаты (если есть)
Файл(ы) конфигурации AST, это может быть экспорт политики сканирования, скриншоты отсканированных CWE или любое свидетельство, показывающее, что вы сканировали.
Результаты сканирования AST в текстовом формате (.txt).
Если вы использовали пользовательские инструменты:
Результаты тестирования OWASP ( подробнее )
Портал CASA Начало работы
Для новых пользователей портала автоматически создается CASA уровня 2. Новые оценки можно создавать в любое время на домашней странице портала.
Открытие дела приводит к началу работы страница с запросом на следующее:
Контактное лицо проекта (имя и фамилия)
Контактный адрес электронной почты проекта
Контактный телефон проекта
Наименования юридического лица
Веб-сайт
Тип оценки («Новая» или «Переоценка»)
Область применения
Идентификатор проекта Google
Эта информация используется, чтобы определить, какие требования CASA относятся к вашему приложению, и собрать необходимые метаданные приложения для выдачи Письма о проверке.
ПРИМЕЧАНИЕ. CASA необходимо отправить на проверку в течение 30 дней с момента инициирования. Запросы на продление срока оцениваются в каждом конкретном случае.
Загрузки уровня 2 портала CASA
Загрузите все доказательства, собранные на шаге 1 и шаге 2. Это включает в себя:
Существующие системы безопасности, принятые CASA
Файл(ы) конфигурации AST
Результаты сканирования AST в формате xlsx, csv, xml или pdf.
Результаты тестов OWASP (*только для пользовательских или альтернативных сканирований AST)
ПРИМЕЧАНИЕ: Платформы безопасности необязательны для ускорения вашего CASA и не требуются для проверки. Вернитесь к шагу 1 для более подробной информации.
Нужна помощь? Используйте встроенную функцию «Сообщения» на портале, чтобы напрямую общаться со специалистом CASA. Уведомления по электронной почте об ответах отправляются на адрес электронной почты, используемый для входа на портал.
НАПОМИНАНИЕ : Сканирование кода требуется для проверки уровня 2. Код приложения, результаты сканирования или обнаруженные уязвимости не передаются и не раскрываются Google в рамках проверки.
Опрос для самоаттестации на портале CASA
Портал проверит предоставленные входные данные и предоставит набор оставшихся требований для самоаттестации, организованный по главам CASA. Для пользователей, ускоряющих CASA с большим количеством сред безопасности, самоаттестация может не потребоваться. В этих случаях часть портала, посвященная самоаттестации, отображаться не будет.
В большинстве случаев будет небольшое количество требований, требующих самоаттестации. Для этих требований ответивший разработчик 3P должен будет самостоятельно подтвердить ряд вопросов «Да, нет, неприменимо», связанных с требованиями CASA.
Поле комментариев доступно для разработчика, чтобы обосновать каждый ответ тем, насколько приложение удовлетворяет или не удовлетворяет заданному требованию. Критерии приемлемости CASA представляют собой неисчерпывающий набор примеров для справки.
ПРИМЕЧАНИЕ. Не изменяйте вопросы, автоматически заполненные как «Выполнено по предварительным условиям». Эти варианты автоматически выбираются порталом CASA на основе ответов в разделе «Загрузки уровня 2».
Чтобы пройти проверку уровня 2, вы должны:
Исправьте любые сбойные CWE, сопоставленные с требованиями CASA.
Самостоятельная аттестация для несканируемых требований CASA
После того, как все предварительные условия оценки будут выполнены в достаточной степени, портал CASA предложит разработчику отправить заявку на проверку.
Завершить