Scanoptionen
Von CASA empfohlene Tools verwenden
Mit vordefinierten Konfigurationsdateien und Docker-Images können genehmigte Scans und Ausgaben schnell ausgeführt werden. Diese Option wird dringend empfohlen und verringert die Wahrscheinlichkeit, dass ein CASA-Eintrag aufgrund eines Richtlinienverstoßes zurückgegeben wird.
Folgen Sie einfach der Anleitung für CASA AST, je nachdem, welche Scans für Ihre Anwendung erforderlich sind.
Damit die Bestätigung in Schicht 2 möglich ist, müssen folgende Voraussetzungen erfüllt sein:
-
Keine Ergebnisse im Zusammenhang mit gängigen Schwachstellen (CWEs) und hoher Exploit-Wahrscheinlichkeit
-
Keine Ergebnisse im Zusammenhang mit CWEs mit mittlerer Exploit-Wahrscheinlichkeit (*gilt nur für die erneute Überprüfung der CASA)
Informationen zur Problembehebung finden Sie im OWASP-Leitfaden aus dem ASVS-Cheat Sheet.
Benutzerdefinierte oder alternative AST-Tools verwenden
Drittanbieter dürfen alle CWE-kompatiblen App-Scantools verwenden, sofern die Tools die CASA AST-Anforderungen für Tests und Ergebnisse erfüllen. Eine Liste der Optionen (nicht vollständig) finden Sie hier.
Benutzerdefinierte oder alternative AST-Tools:
-
Entspricht dem OWASP-Benchmark.
-
Sie müssen so konfiguriert sein, dass alle für Ihre Anwendung erforderlichen CWEs gescannt werden
-
Die CWE-Ausgabe in maschinenlesbarem Format (z.B. XML, CSV) oder PDF
Eine vollständige Zuordnung der erforderlichen CWE- und AST-Toolkombinationen finden Sie in der Zuordnungsvorlage für CASA Tier 2.
Damit die Bestätigung in Tier 2 möglich ist, müssen die Ergebnisse Folgendes anzeigen:
-
Keine Ergebnisse im Zusammenhang mit gängigen Schwachstellen (CWEs) und hoher Exploit-Wahrscheinlichkeit
-
Keine Ergebnisse im Zusammenhang mit CWEs mit mittlerer Exploit-Wahrscheinlichkeit (*nur für die erneute Überprüfung der CASA anwendbar)
Informationen zur Problembehebung finden Sie im OWASP-Leitfaden aus dem ASVS-Cheat Sheet.