Zrozumienie poziomu 2
CASA poziomu 2 jest zgodna ze standardem OWASP Application Security Verification Standard (ASVS) w wersji 4.0. Łącznie jest 134 wymagań, z których każde ma swój zestaw kryteriów przyjęcia. Większość ASVS jest też powiązana z zestawem CWE, co daje nam większą elastyczność w określaniu, czy spełniono wymagania.
Wystarczy, że zastosujesz się do zaleceń dotyczących usługi AST w CASA, które dotyczą skanowania wymaganego w przypadku Twojej aplikacji.
Aby kwalifikować się do weryfikacji na poziomie 2, wyniki muszą zawierać:
-
brak błędów w wynikach skanowania, które zostałyby przypisane do wymagań CASA;
Wskazówki dotyczące rozwiązania OWASP znajdziesz w ściągawce ASVS, na podstawie której można podjąć działania naprawcze.
Wymagania można spełnić na 3 sposoby
W przypadku samodzielnej oceny objawów na poziomie 2 wymagania dzielą się na 2 kategorie:
-
Wymagania funkcjonalne
-
Wymagania niefunkcjonalne
Wymagania funkcjonalne muszą zostać zweryfikowane za pomocą testu bezpieczeństwa aplikacji (AST).
Wymagania niefunkcjonalne są weryfikowane za pomocą kombinacji istniejących certyfikatów bezpieczeństwa zaakceptowanych przez CASA oraz samooceny dewelopera.
Przyspieszenie procesu tworzenia konta CASA
Gdy już poznasz podstawy CASA i wymagania dotyczące Twojej aplikacji, dowiedz się, ile z nich można zautomatyzować za pomocą narzędzia Accelerator CASA. Wystarczy udostępnić narzędzie:
-
Typ aplikacji
- Istniejące standardy zabezpieczeń akceptowalne przez CASA (zobacz wskazówki)
- Narzędzia AST, których używasz lub zamierzasz używać (patrz: wskazówki)
Przygotowanie do skanowania aplikacji
Accelerator CASA udostępnia krótką listę CWE, które należy załadować do zasad skanowania AST lub wyświetlić w wyniku skanowania AST.
Zalecamy wyeksportowanie listy CWE i powiązanych CWE, aby mieć do nich dostęp tutaj.
Dalszy krok