Étape 1 | Familiarisez-vous avec le CASA

niveau 2 personnalisé
panneau de départ

Comprendre le niveau 2

Le niveau 2 de CASA est conforme à la version 4.0 de l'OWASP Application Security Verification Standard (ASVS). Il y a 134 exigences au total, chacune étant associée à son propre ensemble de critères d'acceptation. La plupart des valeurs ASVS sont également associées à un ensemble de CWE, ce qui nous permet de déterminer plus facilement si une exigence a été satisfaite.



Il vous suffit de suivre les instructions de la CASA AST en fonction des analyses requises pour votre application. 

Pour pouvoir prétendre à la validation de niveau 2, vous devez obtenir les résultats suivants:

  • Les CWE dont la correspondance a échoué correspondent aux exigences de la CASA dans vos résultats d'analyse

Les conseils OWASP de l'aide-mémoire ASVS peuvent être référencés afin de résoudre les problèmes identifiés.

panneau de départ

Les conditions sont remplies de trois façons :

Dans une auto-évaluation validée de niveau 2, les exigences appartiennent généralement à deux catégories:

  1. Exigences fonctionnelles

  2. Exigences non fonctionnelles

Les exigences fonctionnelles  doivent être vérifiées à l'aide d'une analyse de sécurité de l'application (AST).

Les exigences non fonctionnelles  sont vérifiées à l'aide d'une combinaison de certifications de sécurité acceptées par la CASA existante et de l'autocertification des développeurs.

panneau de départ

Accélérez votre parcours de CASA

Une fois que vous avez compris les principes de base du CASA et les exigences qui s'appliquent à votre application, découvrez combien d'entre eux peuvent être automatisés à l'aide de l'outil CASA Accelerator. Il vous suffit de fournir l'outil:

  • Votre type d'application

  • Frameworks de sécurité acceptés par le CASA existant (voir cette page)
  • Outils AST que vous utilisez ou avez l'intention d'utiliser (voir cette page)

Accélérateur de niveau 2
panneau de départ

Préparer l'analyse de votre application

CASA Accelerator fournit une courte liste de CWE qui doivent être chargés dans une règle d'analyse AST ou affichés dans un résultat d'analyse AST existant. 

Il est recommandé d'exporter la liste des CWE et des CWE associés pour référence dans cette page.

Étape suivante