خيارات البحث
استخدام الأدوات المقترَحة من CASA
يتم توفير ملفات الإعداد المُعَدّة مسبقًا وصور Docker لإجراء عمليات إخراج وإخراج تمت الموافقة عليها بسرعة. يُوصى بشدة باستخدام هذا الخيار ويقلل بشكل كبير من احتمال إرجاع شهادة CASA بسبب عدم التوافق.
ما عليك سوى اتّباع إرشادات AST في AASA استنادًا إلى عمليات الفحص المطلوبة لتطبيقك.
يجب أن تعرض النتائج ما يلي كي تكون مؤهَّلاً لإثبات الملكية من خلال موظّف دعم "المستوى 2":
-
لم يتم العثور على نتائج مرتبطة بتعدادات الضعف الشائعة (CWEs) مع احتمال استغلال مرتفع
-
لم يتم العثور على نتائج مرتبطة بـ CWEs مع احتمال استغلال medium (*ينطبق ذلك فقط على CASA revalidation)
يمكنك الرجوع إلى إرشادات OWASP من ورقة الملاحظات الموجزة في ASVS لمعالجة النتائج.
استخدام أدوات AST المخصصة أو البديلة
يُسمح لمطوّري برامج الجهات الخارجية باستخدام أي من أدوات فحص التطبيقات المتوافقة مع CWE، شريطة أن تستوفي الأداة متطلبات CASA AST للاختبار والنتائج أدناه. تتوفر قائمة بالخيارات (ليست شاملة) هنا.
يجب أن تكون أدوات AST المخصصة أو البديلة:
-
استيفاء معيار OWASP المعياري
-
تكوينها لفحص جميع CWEs المطلوبة للتطبيق
-
تقديم مخرج CWE لاجتياز/إخفاق في الجهاز القابل للقراءة (على سبيل المثال، XML أو CSV) أو تنسيق PDF
يمكن العثور على عملية ربط كاملة لمجموعات CWEs وأدوات AST المطلوبة في نموذج ربط المستوى الثاني من CASA.
للتأهّل للحصول على اعتماد من المستوى الثاني، يجب أن تعرض النتائج:
-
لم يتم العثور على نتائج مرتبطة بتعدادات الضعف الشائعة (CWEs) مع احتمال استغلال مرتفع
-
لم يتم العثور على نتائج مرتبطة بمراكز CWE مع احتمال استغلال medium (*ينطبق ذلك فقط على CASA revalidation)
يمكنك الرجوع إلى إرشادات OWASP الواردة في ورقة الملاحظات الموجزة في ASVS لمعالجة النتائج.