خيارات البحث
استخدام الأدوات المقترَحة من "التقييم والموافقة والاعتماد"
يتم توفير ملفات إعداد مسبقة الإعداد وصور Docker لإجراء عمليات الفحص والنتائج التي تمت الموافقة عليها بسرعة. ننصح بشدة باستخدام هذا الخيار لأنّه يقلل بشكل كبير من احتمالية إرجاع العينة المرسَلة في نموذج CASA بسبب عدم الامتثال.
ما عليك سوى اتّباع إرشادات AST في CASA استنادًا إلى عمليات الفحص المطلوبة لتطبيقك.
لكي تكون مؤهّلاً للاستفادة من المستوى 2، يجب أن تعرض النتائج ما يلي:
-
ما مِن نتائج مرتبطة بعمليات تحديد نقاط الضعف الشائعة (CWEs) التي يُحتمل بدرجة عالية استغلالها
-
ما مِن نتائج مرتبطة بأدوات CWE ذات احتمالية متوسطة للاستغلال (*ينطبق ذلك فقط على إعادة التحقّق من CASA)
يمكن الرجوع إلى إرشادات OWASP من ASVS Cheat Sheet لمعالجة النتائج.
استخدام أدوات AST مخصّصة أو بديلة
يُسمح لمطوّري الجهات الخارجية باستخدام أي أدوات فحص تطبيقات متوافقة مع CWE، شرط أن تستوفي الأدوات متطلبات اختبار AST في CASA لنتائج الاختبار أدناه. يمكنك الاطّلاع على قائمة بالخيارات (غير الشاملة) في هذا الرابط.
يجب أن تستوفي أدوات AST المخصّصة أو البديلة:
-
استيفاء معيار قياس أداء OWASP
-
أن يتم ضبطه لفحص جميع نقاط ضعف CWE المطلوبة لتطبيقك
-
قدِّم نتيجة CWE ناجحة/غير ناجحة بتنسيق قابل للقراءة آليًا (مثل XML أو CSV) أو PDF
يمكن العثور على ربط كامل لمجموعات أدوات CWEs وAST المطلوبة في نموذج الربط من المستوى 2 في CASA.
للتأهّل لإثبات الهوية من المستوى 2، يجب أن تعرض النتائج ما يلي:
-
ما مِن نتائج مرتبطة بتعدادات نقاط الضعف الشائعة (CWEs) مع احتمال مرتفع للاستغلال.
-
ما مِن نتائج مرتبطة بأدوات CWE ذات احتمالية متوسطة للاستغلال (*ينطبق فقط على إعادة التحقّق من معايير CASA)
يمكن الرجوع إلى إرشادات OWASP من ASVS Cheat Sheet لحلّ المشاكل.