事前準備
請按照電子郵件中的操作說明 (如果這是您的第一個 CASA) 建立帳戶並登入。
提交 CASA 的注意事項:
-
CASA 第 2 級通知電子郵件
-
業界認證 (如果有的話)
-
AST 設定檔,可以是掃描政策、已掃描 CWE 的螢幕截圖,或任何能反映掃描結果的證據。
-
AST 掃描結果(純文字格式 (.txt) 格式)。
如果你使用自訂工具:
-
OWASP 基準測試結果 (更多資訊)
CASA 入口網站入門
如果您是首次入口網站使用者,系統會自動產生第 2 層 CASA。您隨時可透過入口網站首頁建立新的評估作業。
建立案件後會前往「開始使用」頁面,提出下列要求:
-
專案聯絡人姓名 (名字和姓氏)
-
專案聯絡人電子郵件
-
專案聯絡人電話
-
法人名稱
-
網站
-
評估類型 (「新」或「重新評估」)
-
應用程式範圍
-
Google 專案 ID
這項資訊可用來識別哪些 CASA 要求適用於您的應用程式,並收集核發應用程式中繼資料所需的應用程式中繼資料。
注意: 必須在提供驗證後的 30 天內,將 CASA 送交驗證。我們會逐案評估期限延長要求。
CASA 入口網站第 2 層上傳
上傳您在步驟 1 和步驟 2 收集的所有證據。這類內容符合以下敘述:
-
目前受 CASA 接受的安全性架構
-
AST 設定檔
-
xlsx、csv、xml 或 pdf 格式的 AST 掃描結果
-
OWASP 基準測試結果 (*僅適用於自訂或替代的 AST 掃描)
附註: 您可以選擇是否使用安全性架構,以加速 CASA 並進行驗證。詳情請見步驟 1。
需要協助嗎? 使用入口網站中的整合式「訊息」功能直接與 CASA 專員溝通。回覆的電子郵件通知會傳送到用來登入入口網站的電子郵件地址。
提醒: 您必須啟用程式碼掃描功能,才能使用第 2 層進行驗證。在驗證過程中,我們不會分享或揭露應用程式的程式碼、掃描結果或安全漏洞發現項目。
CASA 入口網站自我認證問卷調查
入口網站會驗證你提供的輸入內容,並提供一組由自我認證 (根據 CASA 章節) 進行自我認證的其餘規定。如果使用者使用大量安全性架構加速 CASA,則可能不需要自我認證。在這些情況下,系統不會顯示入口網站的自主認證問卷調查部分。
在大多數情況下,要求數量極少需要自我認證。為滿足這些需求,回應的第 3 人開發人員必須自我認證,處理一系列與 CASA 相關的「是、否、否」問題。
開發人員可使用註解欄位,以回應應用程式每個應用程式的滿意度,並滿足特定要求。CASA 接受標準僅提供一組完整的範例範例。
注意: 請勿修改已自動填入「由必備條件填寫」的問題。CASA 入口網站會根據「階層 2 上傳」部分中的回應自動選取這些選項。
您必須符合以下條件,才能申請第 2 級驗證資格:
-
修正對應至 CASA 規定的任何失敗 CWE
-
自我掃描 CASA 要求的自我認證
滿足所有評估資格條件後,CASA Portal 就會提示開發人員提交驗證資料。
完成