Informationen zu Tier 2
Die Tier 2-CASA ist an den OWASP Application Security Verification Standard (ASVS) v4.0 ausgerichtet. Es gibt insgesamt 134 Anforderungen, die jeweils eigenen Akzeptanzkriterien zugeordnet sind. Der Großteil des ASVS ist auch mit einer Reihe von CWEs verknüpft, was uns mehr Flexibilität bei der Bestimmung der Erfüllung einer Anforderung bietet.
Folgen Sie einfach den CASA-AST-Anweisungen, je nachdem, welche Scans für Ihre Anwendung erforderlich sind.
Für die Bestätigung durch Tier 2 müssen die Ergebnisse Folgendes enthalten:
-
Keine fehlgeschlagenen CWEs, die in Ihren Scanergebnissen den Anforderungen von CASA zugeordnet sind
Die OWASP-Richtlinien aus der ASVS-Kurzübersicht können als Referenz verwendet werden, um Probleme zu beheben.
Es gibt drei Möglichkeiten, die Anforderungen zu erfüllen.
Bei einer bestätigten Selbstbewertung der Stufe 2 lassen sich die Anforderungen grob in zwei Kategorien unterteilen:
-
Funktionale Anforderungen
-
Nicht funktionale Anforderungen
Funktionale Anforderungen müssen mit einem AST-Scan (Application Security Testing) überprüft werden.
Nicht funktionale Anforderungen werden anhand einer Kombination aus vorhandenen von der CASA anerkannten Sicherheitszertifizierungen und der Selbstattestierung von Entwicklern geprüft.
CASA-Einführung beschleunigen
Wenn Sie die CASA und die Anforderungen an Ihre App kennen, können Sie herausfinden, wie viele davon mit dem CASA Accelerator-Tool automatisiert werden können. Stellen Sie einfach das Tool zur Verfügung:
-
Anwendungstyp
- Vorhandene von CASA akzeptierte Sicherheits-Frameworks (siehe Anleitung)
- AST-Tools, die Sie verwenden oder verwenden möchten (siehe Leitfaden)
App-Scan vorbereiten
Der CASA Accelerator enthält eine kurze Liste von CWEs, die in eine AST-Scanrichtlinie geladen oder in einem vorhandenen AST-Scanergebnis angezeigt werden müssen.
Es wird empfohlen, die Liste der CWEs und verknüpften CWEs zur Information hier zu exportieren.
Nächster Schritt