Informationen zu Ebene 2
Das Tier 2-CASA ist auf den OWASP (Application Security Verification Standard, ASVS) v4.0 ausgerichtet. Es gibt insgesamt 134 Anforderungen, wobei jede ihren eigenen Annahmekriterien zugeordnet ist. Der Großteil des ASVS ist auch einer Reihe von CWEs zugeordnet, wodurch wir größere Flexibilität bei der Entscheidung erhalten, ob eine Anforderung erfüllt wurde.
Folgen Sie einfach der Anleitung zur CASA-AST, je nachdem, welche Scans für Ihre Anwendung erforderlich sind.
Damit die Bestätigung in Schicht 2 möglich ist, müssen folgende Voraussetzungen erfüllt sein:
-
Keine CWEs in den Scanergebnissen, die den CASA-Anforderungen zugeordnet sind
Informationen zur Problembehebung finden Sie im ASVS-Leitfaden.
Anforderungen werden auf drei Arten erfüllt:
Bei einer Selbsteinschätzung der Stufe 2 fallen die Anforderungen in zwei Kategorien:
-
Funktionale Anforderungen
-
Nicht funktionale Anforderungen
Funktionsanforderungen müssen mithilfe eines AST-Scans (Application Security Testing, Anwendungssicherheit) überprüft werden.
Nicht funktionale Anforderungen werden anhand einer Kombination aus bei der CASA akzeptierten Sicherheitszertifizierungen und der Selbstzertifizierung durch den Entwickler überprüft.
CASA beschleunigen
Grundlegende Kenntnisse der CASA und Anforderungen, die für Ihre Anwendung gelten, zeigen, wie viele mit dem CASA Accelerator-Tool automatisiert werden können. Stellen Sie das Tool einfach bereit:
-
Ihren App-Typ
- Vorhandene, von der CASA akzeptierte Sicherheitsframeworks (siehe Anleitung)
- AST-Tools, die Sie verwenden oder nutzen möchten (siehe Anleitung)
Scan der App vorbereiten
Der CASA Accelerator bietet eine kurze Liste von CWEs, die in eine AST-Scanrichtlinie geladen oder in einem vorhandenen AST-Scanergebnis angezeigt werden müssen.
Wir empfehlen, die Liste der CWEs und der verknüpften CWEs als Referenz zu exportieren.
Nächster Schritt