Poziom 2
Certyfikat CASA poziomu 2 jest zgodny ze standardem OWASP Application Security Verification Standard (ASVS) w wersji 4.0. Istnieje łącznie 134 wymagania, z których każdy jest przypisany do własnego zestawu kryteriów akceptacji. Większość ASVS jest też powiązana z systemem CWE, który zapewnia nam większą elastyczność w określaniu, czy dany wymóg został spełniony.
Postępuj zgodnie ze wskazówkami dotyczącymi CASA AST w zależności od tego, jakie skanowania są wymagane w przypadku Twojej aplikacji.
Aby kwalifikować się do weryfikacji na poziomie 2, wyniki muszą zawierać:
-
W wynikach skanowania nie ma błędów CWE mapowanych na wymagania CASA.
Wskazówki dotyczące OWASP z ściągawki ASVS można wykorzystać do działań naprawczych.
Wymagania są określone na 3 sposoby
W przypadku weryfikacji na poziomie 2 wymagania dzielą się na 2 kategorie:
-
Wymagania dotyczące funkcjonalności
-
Wymagania dotyczące funkcjonalności
Wymagania dotyczące funkcji muszą być weryfikowane za pomocą skanowania aplikacji (AST).
Wymagania niefunkcjonalne są weryfikowane przy użyciu kombinacji dotychczasowych certyfikatów bezpieczeństwa CASA oraz samodzielnej oceny przez dewelopera.
Przyspiesz migrację CASA
Znajomość CASA i wymagań dotyczących Twojej aplikacji pozwoli Ci sprawdzić, ile z nich można zautomatyzować za pomocą narzędzia CASA Accelerator. Wystarczy, że udostępnisz narzędzie:
-
typ Twojej aplikacji;
- obecnych zasad bezpieczeństwa akceptowanych w CASA (zobacz wytyczne),
- narzędzia AST, których używasz lub których zamierzasz używać (patrz: wskazówki).
Przygotowanie do skanowania aplikacji
Akcelerator CASA udostępnia krótką listę CWE, którą należy wczytać do zasad skanowania AST lub wyświetlić w istniejącym wyniku skanowania AST.
Zalecamy wyeksportowanie listy CWE i połączonych CWE do wglądu tutaj.
Następny krok