准备工作
按照电子邮件中的说明创建帐号(如果这是您的第一个 CASA)并登录。
提交 CASA 需满足的条件:
-
CASA 第 2 层级:通知电子邮件
-
行业认证(如果有)
-
AST 配置文件,这可能是扫描政策的导出文件、所扫描的 CWE 的屏幕截图,或任何显示您扫描所依据内容的证据。
-
AST 扫描结果采用纯文本 (.txt) 格式。
如果您使用了自定义工具:
-
OWASP 基准测试结果(了解详情)
CASA 门户使用入门
对于初次门户用户,系统会自动生成一个 2 级 CASA。您可以随时在门户首页上创建新评估。
创建支持请求后,系统会打开使用入门 页面,其中会显示以下请求:
-
项目联系人姓名(姓氏和名字)
-
项目联系人电子邮件地址
-
项目联系人电话
-
法律实体名称
-
网站
-
评估类型(“新”或“重新评估”)
-
应用范围
-
Google 项目 ID
此信息用于标识您的应用满足哪些 CASA 要求,并收集必要的应用元数据以签发证明函。
注意 :您必须在启动后 30 天内提交 CASA 以供验证审核。我们会根据具体情况评估延期申请。
CASA 门户第 2 层级上传
上传在第 1 步和第 2 步中收集的所有证据。其中包括:
-
CASA 接受的现有安全框架
-
AST 配置文件
-
AST 扫描结果可以采用 xlsx、csv、xml 或 pdf 格式
-
OWASP 基准测试结果(*仅适用于自定义或备用 AST 扫描)
注意 :安全框架是可选的,可以加快 CASA 的运行速度,而无需进行验证。如需了解详情,请回顾第 1 步。
需要帮助? :通过该门户内的集成“信息”功能直接与 CASA 专家交流。系统会将回复的电子邮件通知发送到用于登录门户的电子邮件地址。
提醒:T2 验证需要扫描代码。验证过程中不会向 Google 分享或披露应用代码、扫描结果或漏洞发现结果。
CASA 门户自行证明调查问卷
该门户将验证提供的输入内容,并根据 CASA 章节整理,为自认证提供一组剩余的要求。对于使用大量安全框架来加速 CASA 的用户,可能不需要自行认证。在这些情况下,该门户的自行认证调查问卷部分不会显示。
在大多数情况下,只有少数要求需要进行自行认证。为了满足这些要求,响应的第三方开发者需要自行测试与 CASA 要求相关的一系列“是、否、不适用”问题。
开发者可以使用注释字段,让每个响应能够说明应用满足或低于给定要求的方式。CASA 接受标准提供了一组并非详尽无遗的示例作为参考。
注意 :请勿修改自动填充为“已满足前提条件”的问题。CASA 门户会根据第 2 层级“上传”部分中的响应自动选择这些选项。
您必须满足以下条件,才有资格进行 2 级验证:
-
修复映射到 CASA 要求的所有失败的 CWE
-
自行证明无法扫描的 CASA 要求
满足所有评估前提条件后,CASA 门户会提示开发者提交验证。
完成