App scannen

Tier 2 anpassen
Startschild

Scan-Optionen

Startschild

Mit vordefinierten Konfigurationsdateien und Docker-Images lassen sich genehmigte Scans und Ausgaben schnell ausführen. Diese Option wird dringend empfohlen und verringert die Wahrscheinlichkeit, dass eine CASA-Einreichung aufgrund von Nichteinhaltung zurückgesendet wird.

Folgen Sie einfach der CASA-AST-Anleitung, um herauszufinden, welche Scans für Ihre Anwendung erforderlich sind. 

Für die Bestätigung durch Tier 2 müssen die Ergebnisse Folgendes enthalten:

  • Keine Ergebnisse in Verbindung mit CWEs (Common Schwachstellen Aufzählungen), bei denen die Wahrscheinlichkeit eines Exploits hoch ist

  • Keine Ergebnisse im Zusammenhang mit CWEs mit mittlerer Wahrscheinlichkeit der Ausnutzung (* gilt nur für die CASA-Neuvalidierung)

Die OWASP-Richtlinien aus der ASVS-Kurzübersicht können als Referenz verwendet werden, um Probleme zu beheben.

Startschild

Benutzerdefinierte oder alternative AST-Tools verwenden

Drittanbieter dürfen beliebige CWE-kompatible App-Scan-Tools verwenden, sofern die Tools die folgenden CASA-AST-Anforderungen an Tests und Ergebnisse erfüllen. Eine Liste der Optionen (nicht abschließend) finden Sie hier

Benutzerdefinierte oder alternative AST-Tools müssen:

  • Sie erfüllen den OWASP-Benchmark.

  • Es muss so konfiguriert sein, dass alle für Ihre Anwendung erforderlichen CWEs gescannt werden.

  • Stellen Sie eine CWE-Ausgabe in Form von „Bestanden“ oder „Nicht bestanden“ in einem maschinenlesbaren Format (z. B. XML, CSV) oder im PDF-Format


Eine vollständige Zuordnung der erforderlichen CWEs und AST-Tool-Kombinationen finden Sie in der CASA-Tier-2-Zuordnungsvorlage.

Um sich für eine Tier-2-Überprüfung zu qualifizieren, müssen die Ergebnisse Folgendes enthalten:

  • keine Ergebnisse im Zusammenhang mit Common Weakness Enumerations (CWEs) mit hoher Wahrscheinlichkeit der Ausnutzung

  • keine Ergebnisse im Zusammenhang mit CWEs mit mittlerer Wahrscheinlichkeit der Ausnutzung (* gilt nur für die CASA-Neuvalidierung)

Die OWASP-Richtlinien aus der ASVS-Kurzübersicht können als Referenz verwendet werden, um die Probleme zu beheben.

Nächster Schritt