הסבר על רמה 2
בדיקת CASA ברמה 2 תואמת לתקן OWASP Application Security Verification Standard (ASVS) בגרסה 4.0. יש בסך הכול 134 דרישות, וכל אחת מהן ממופה לקבוצה משלה של קריטריונים לאישור. רוב ה-ASVS משויך גם לקבוצה של נקודות חולשה בתוכנה (CWE), שמספקת לנו גמישות רבה יותר לקבוע אם דרישה מסוימת מולאה.
כל מה שצריך לעשות הוא לפעול לפי ההנחיות של CASA AST, לפי הסריקות שנדרשות לצורך הגשת הבקשה.
כדי לעמוד בדרישות האימות ברמה 2, התוצאות צריכות לכלול:
-
בתוצאות הסריקה לא מופיעות נקודות חולשה בקוד (CWE) שנכשלו במיפוי לדרישות של CASA
אפשר להיעזר בהנחיות של OWASP מתוך ASVS Cheat Sheet כדי לתקן את הממצאים.
יש 3 דרכים לעמוד בדרישות
בבדיקת העצמי המאומתת ברמה 2, הדרישות נחלקות לשתי קטגוריות רחבות:
-
דרישות פונקציונליות
-
דרישות לא פונקציונליות
הדרישות הפונקציונליות צריכות להיות מאומתות באמצעות סריקת בדיקת אבטחת אפליקציות (AST).
אנחנו מאמתים דרישות לא פונקציונליות באמצעות שילוב של אישורי אבטחה קיימים שאושרו על ידי CASA ואימות עצמי של מפתחים.
איך מקצרים את התהליך של CASA
לאחר הבנה בסיסית של ה-CASA והדרישות שחלות על האפליקציה שלך, כדאי לבדוק כמה מהם ניתן לבצע אוטומציה באמצעות הכלי CASA Aacclerator. פשוט מספקים את הכלי:
-
סוג האפליקציה
- מסגרות אבטחה קיימות שאושרו על ידי CASA (ראו הנחיות)
- הכלים של AST שבהם אתם משתמשים או מתכוונים להשתמש (ראו הנחיות)
