הסבר על רמה 2
תקן CASA של רמה 2 תואם לתקן OWASP Application Security Verification Standard (ASVS) בגרסה 4.0. קיימות 134 דרישות בסך הכול, וכל אחת מהן ממופה לקבוצה של קריטריוני אישור משלה. רוב ממשקי ASVS משויכים גם לקבוצה של CWE, מה שמעניק לנו יותר גמישות לקבוע אם יש עמידה בדרישות.
כל מה שצריך לעשות הוא לפעול לפי ההנחיות של CASA AST לפי הסריקות שנדרשות לאפליקציה.
כדי להיות זכאים לאימות ברמה 2, התוצאות חייבות להופיע:
-
CWE לא מופה לדרישות של CASA בתוצאות הסריקה
כדי לתקן את הממצאים, אפשר לעיין בהנחיות של OWASP בדף של טופס ה-ASVS.
הדרישות מתקיימות ב-3 דרכים
בהערכה עצמית מאומתת של רמה 2, הדרישות מתחלקות באופן כללי לשתי קטגוריות:
-
דרישות פונקציונליות
-
דרישות לא פונקציונליות
יש לאמת את הדרישות הפונקציונליות באמצעות סריקה של בדיקת אבטחה באפליקציה (AST).
הדרישות שאינן פונקציונליות מאומתות באמצעות שילוב של אישורי אבטחה שכבר אושרו על ידי ה-CASA, ואימות עצמי של המפתחים.
שיפור המהירות ב-CASA
להבנה בסיסית של CASA ולדרישות החלות על האפליקציה, ניתן לראות כמה אפשר להפוך לאוטומטיים באמצעות הכלי CAS Accelerator. פשוט מספקים את הכלי:
-
סוג הבקשה שלך
- מסגרות אבטחה קיימות שאושרו על ידי CASA (מידע נוסף זמין במאמר הנחיות)
- כלי AST שבהם אתם משתמשים או שבכוונתכם להשתמש בהם (ראו: הנחיות)