فهم المستوى 2
يتوافق "المستوى 2" من معايير أمان التطبيقات (CASA) مع الإصدار 4.0 من معيار التحقق من أمان التطبيقات (ASVS) من OWASP. هناك 134 متطلّبًا إجمالاً، ويتم ربط كل متطلّب بمجموعة معايير قبول خاصة به. يرتبط معظم معيار ASVS أيضًا بمجموعة من CWE، ما يمنحنا مرونة أكبر في تحديد ما إذا تم استيفاء أحد المتطلبات.
ما عليك سوى اتّباع إرشادات CASA AST بناءً على عمليات الفحص المطلوبة لتطبيقك.
لكي تكون مؤهَّلاً لإثبات الملكية من المستوى 2، يجب أن تعرض النتائج ما يلي:
-
لم يتم ربط أي معايير CWEs (CWE) مع متطلبات CASA في نتائج الفحص.
يمكن الرجوع إلى إرشادات OWASP من ASVS Cheat Sheet لحلّ المشاكل.
يتم استيفاء المتطلبات بثلاث طرق:
في التقييم الذاتي الذي تم إثبات صحته من المستوى 2، تندرج المتطلبات بشكل عام ضمن فئتَين:
-
المتطلبات الوظيفية
-
المتطلبات غير الوظيفية
يجب التحقّق من المتطلبات الوظيفية باستخدام فحص لاختبار أمان التطبيقات (AST).
يتم التحقّق من المتطلبات غير الوظيفية باستخدام مجموعة من شهادات الأمان الحالية المقبولة من قبل CASA وشهادة مطور البرامج الذاتية.
تسريع رحلة CASA
بعد التعرّف على أساسيات مبادرة CASA والمتطلبات التي تنطبق على تطبيقك، يمكنك الاطّلاع على عدد الإجراءات التي يمكن برمجة تنفيذها باستخدام أداة "مسرع CASA". ما عليك سوى تقديم الأداة:
-
نوع طلبك
- أُطر عمل الأمان الحالية المقبولة لدى تقييم أمان تطبيقات السحابة الإلكترونية (CASA) (راجِع: الإرشادات)
- أدوات AST التي تستخدمها أو تنوي استخدامها (راجِع: الإرشادات)
الاستعداد لفحص تطبيقك
يوفّر "مسرع CASA" قائمة قصيرة بنقاط ضعف CWE التي يجب تحميلها في سياسة فحص AST أو عرضها في نتيجة فحص ASTحالية .
ننصحك بتصدير قائمة CWEs وCWEs المرتبطة للاطّلاع عليها في هذا الرابط.
الخطوة التالية