فهم المستوى 2
يتوافق إصدار CAA من المستوى الثاني مع معيار التحقق من أمان تطبيق OWASP الإصدار 4.0 (ASVS). هناك 134 متطلّبًا إجمالاً، ويتم ربط كلٍّ منها بمجموعة معايير القبول الخاصة بها. وترتبط معظم خدمات ASVS أيضًا بمجموعة من أجهزة CWE، ما يمنحنا المزيد من المرونة في تحديد ما إذا تم استيفاء أحد المتطلبات.
ما عليك سوى اتّباع إرشادات CAST AST بناءً على عمليات الفحص المطلوبة لتطبيقك.
يجب أن تعرض النتائج ما يلي كي تكون مؤهَّلاً لإثبات الملكية من خلال موظّف دعم "المستوى 2":
-
لم يتم ربط CWEs بمتطلبات CASA في نتائج الفحص.
يمكن الرجوع إلى إرشادات OWASP من ورقة الملاحظات الموجزة في ASVS لتصحيح النتائج.
يتم استيفاء المتطلبات من خلال 3 طرق
في التقييم الذاتي الذي تم التحقق منه من المستوى الثاني، تنقسم المتطلبات على نطاق واسع إلى فئتين:
-
المتطلبات الوظيفية
-
متطلبات غير وظيفية
يجب التحقّق من المتطلبات الوظيفية باستخدام فحص اختبار أمان التطبيق (AST).
يتم التحقّق من المتطلبات غير الوظيفية باستخدام مجموعة من شهادات الأمان الحالية المقبولة في CASA والإقرار الذاتي من مطوّر البرامج.
تسريع رحلة CASA
من خلال الفهم الأساسي لـ CASA والمتطلبات التي تنطبق على تطبيقك، يمكنك الاطّلاع على عدد التطبيقات التي يمكن تنفيذها تلقائيًا باستخدام أداة Accelerator CASA. ما عليك سوى توفير الأداة:
-
نوع تطبيقك
- أُطر الأمان الحالية المقبولة لدى CASA (راجع: الإرشادات)
- أدوات AST التي تستخدمها أو تنوي استخدامها (راجع: الإرشادات)
الاستعداد لفحص تطبيقك
يوفّر مسرّع CASA قائمة قصيرة بوحدات CWE التي يجب تحميلها في سياسة فحص AST أو يتم عرضها في نتيجة فحص AST حالية.
ننصحك بتصدير قائمة CWEs وCWEs ذات الصلة للرجوع إليها هنا.
الخطوة التالية