事前準備
按照電子郵件中的指示建立帳戶 (如果這是您第一次使用 CASA) 並登入。
提交 CASA 時需要提供的資訊:
-
CASA 第 2 級通知電子郵件
-
產業認證 (如有)
-
AST 設定檔,可以是掃描政策的匯出內容、掃描的 CWE 螢幕截圖,或任何顯示您掃描內容的證據。
-
以純文字 (.txt) 格式提供 AST 掃描結果。
如果您使用自訂工具:
-
OWASP 基準測試結果 (詳情)
CASA Portal 入門指南
如果是首次使用入口網站的使用者,系統會自動產生級別 2 CASA。您隨時可以透過入口網站的首頁建立新的評估作業。
開立案件後,系統會開啟入門 頁面,要求取得以下項目:
-
專案聯絡人姓名 (名字和姓氏)
-
專案聯絡人電子郵件地址
-
專案聯絡人電話
-
法人名稱
-
網站
-
評估類型 (「新評估」或「重新評估」)
-
應用範圍
-
Google 專案 ID
系統會使用這項資訊來確認您應用程式的 CASA 需求為何,並收集必要的應用程式中繼資料以核發驗證書。
注意:您必須在啟動後的 30 天內,將 CASA 提交給驗證審查。我們會個別評估延長期限的要求。
CASA 入口網站第 2 級上傳內容
上傳您在步驟 1 和步驟 2 收集到的所有證據。包括:
-
現有的 CASA 接受的安全性架構
-
AST 設定檔
-
採用 xlsx、csv、xml 或 pdf 格式的 AST 掃描結果
-
OWASP 基準結果 (*僅適用於自訂或替代 AST 掃描)
注意:您可以選擇使用安全性架構來加速 CASA 驗證程序,但這並非必要。請參閱步驟 1 瞭解詳情。
需要協助嗎? 您可以使用入口網站中整合的「訊息」功能,直接與 CASA 專員聯絡。回覆的電子郵件通知會傳送到用來登入入口網站的電子郵件地址。
提醒:如果要進行第 2 級驗證,就必須進行程式碼掃描。驗證過程中不會分享或揭露任何應用程式程式碼、掃描結果或漏洞發現。
CASA 入口網站自願聲明調查
入口網站會驗證您提供的輸入內容,並提供一組自證明的剩餘規定,並按 CASA 章節分類。如果使用者透過大量安全架構加速 CASA,可能不需要進行自我認證。在這種情況下,入口網站不會顯示自我認證問卷調查部分。
在大多數情況下,只有少數規定需要自證。就這些規定,回覆第三方開發人員必須對一系列與 CASA 規定相關的「是、否、不適用」問題自我認證。
開發人員可以使用註解欄位,說明每個回應的理由,說明應用程式如何滿足或不滿足特定需求。CASA 接受標準提供部分範例做為參考。
注意:請勿修改自動填入「已滿足先決條件」的題目。系統會根據第 2 級上傳內容部分的回覆,自動選取這些選項。
如要符合第 2 級驗證的資格,您必須符合下列條件:
-
修正任何對應至 CASA 規定的失敗 CWE
-
針對無法掃描的 CASA 規定進行自我聲明
完成所有評估必要條件後,CASA 入口網站會提示開發人員提交驗證。
完成