Tìm hiểu về Cấp 2
CASA cấp 2 tuân thủ Tiêu chuẩn xác minh bảo mật ứng dụng (ASVS) phiên bản 4.0 của OWASP. Tổng cộng có 134 yêu cầu, trong đó mỗi yêu cầu được liên kết với một bộ tiêu chí chấp nhận riêng. Hầu hết các ASVS cũng được liên kết với một tập hợp CWE, giúp chúng tôi linh hoạt hơn trong việc xác định xem một yêu cầu đã được đáp ứng hay chưa.
Bạn chỉ cần làm theo hướng dẫn của CASA về AST dựa trên những quy trình quét bắt buộc đối với ứng dụng của bạn.
Để đủ điều kiện xác minh ở Cấp 2, kết quả phải cho thấy:
-
Không có CWE nào bị lỗi được liên kết theo yêu cầu của CASA trong kết quả quét của bạn
Bạn có thể tham khảo hướng dẫn của OWASP trong Bảng tổng quan về ASVS để khắc phục các vấn đề phát hiện được.
Có 3 cách để đáp ứng yêu cầu
Trong quy trình tự đánh giá được xác minh ở cấp 2, các yêu cầu được chia thành hai danh mục lớn:
-
Yêu cầu về chức năng
-
Các yêu cầu về những yếu tố không liên quan đến chức năng
Yêu cầu về chức năng phải được xác minh bằng cách quét kiểm thử bảo mật ứng dụng (AST).
Các yêu cầu không liên quan đến chức năng được xác minh bằng cách kết hợp các chứng chỉ bảo mật hiện được CASA chấp nhận và bản tự chứng thực của nhà phát triển.
Đẩy nhanh hành trình sử dụng CASA
Khi đã hiểu rõ về CASA và các yêu cầu áp dụng cho ứng dụng của bạn, hãy xem có bao nhiêu yêu cầu có thể được tự động hoá bằng công cụ Trình tăng tốc CASA. Bạn chỉ cần cung cấp công cụ này:
-
Loại ứng dụng của bạn
- Các khung bảo mật hiện có được CASA chấp nhận (xem: hướng dẫn)
- Các công cụ AST mà bạn sử dụng hoặc dự định sử dụng (xem: hướng dẫn)
Chuẩn bị quét ứng dụng
Trình tăng tốc CASA cung cấp một danh sách ngắn các CWE phải được tải vào chính sách quét AST hoặc hiển thị trong kết quả quét AST hiện có.
Bạn nên xuất danh sách CWE và CWE được liên kết để tham khảo tại đây.
Bước tiếp theo