准备工作
按照电子邮件中的说明创建账号(如果这是您的第一个 CASA)并登录。
提交 CASA 时需要提供的资料:
-
CASA 第 2 层级通知电子邮件
-
行业认证(如有)
-
AST 配置文件,可以是扫描政策的导出内容、扫描的 CWE 的屏幕截图,或显示您扫描的内容的任何证据。
-
以纯文本 (.txt) 格式显示的 AST 扫描结果。
如果您使用的是自定义工具:
-
OWASP 基准测试结果(了解详情)
CASA 门户使用入门
对于首次使用门户的用户,系统会自动生成第 2 层级 CASA。您可以随时在门户首页上创建新的评估。
创建支持请求后,您会进入“使用入门”页面,该页面会要求您提供以下信息:
-
项目联系人姓名(姓氏和名字)
-
项目联系电子邮件地址
-
项目联系人电话
-
法律实体名称
-
网站
-
评估类型(“新评估”或“重新评估”)
-
应用范围
-
Google 项目 ID
这些信息用于确定您的应用适用哪些 CASA 要求,并收集必要的应用元数据以签发验证函。
注意:必须在发起 CASA 后的 30 天内提交 CASA 以供验证审核。我们会根据具体情况评估延期期限的申请。
CASA 门户第 2 级上传
上传在第 1 步和第 2 步中收集的所有证据。其中包括:
-
CASA 接受的现有安全框架
-
AST 配置文件
-
采用 xlsx、csv、xml 或 pdf 格式的 AST 扫描结果
-
OWASP 基准测试结果(*仅适用于自定义或备用 AST 扫描)
注意:安全框架是加速 CASA 流程的可选项,不是验证的强制性要求。请重访第 1 步,了解详情。
需要帮助?使用门户中集成的“消息”功能,直接与 CASA 专家沟通。我们会将回复的电子邮件通知发送到用于登录门户的电子邮件地址。
提醒:若要进行第 2 层级验证,必须进行代码扫描。在验证过程中,我们不会向 Google 分享或披露任何应用代码、扫描结果或漏洞发现。
CASA 门户自行证明调查问卷
该门户将验证所提供的输入,并按照 CASA 章节针对自行证明提供一组其余要求。对于使用大量安全框架加速 CASA 的用户,可能不需要进行自证实。在这些情况下,门户的自证实调查问卷部分不会显示。
在大多数情况下,只有少数要求需要进行自行认证。对于这些要求,回复的第三方开发者需要对与 CASA 要求相关的一系列“是、否、不适用”问题进行自我证明。
开发者可以使用备注字段,通过说明应用如何满足或不满足给定要求来证明每项回答。CASA 接受标准提供了一组示例(并非详尽无遗)以供参考。
注意:请勿修改自动填充为“已通过先决条件”的题目。CASA 门户会根据第 2 层级上传内容部分中的回答自动选择这些选项。
若要符合第 2 层级验证的条件,您必须:
-
解决与 CASA 要求对应的所有未通过的 CWE
-
针对不可扫描的 CASA 要求进行自行证明
完成所有评估先决条件后,CASA 门户会提示开发者提交以供验证。
最终确定