گزینه های اسکن
استفاده از ابزارهای پیشنهادی CASA
فایل های پیکربندی از پیش ساخته شده و تصاویر Docker برای انجام سریع اسکن ها و خروجی های تایید شده ارائه شده اند. این گزینه به شدت توصیه می شود و احتمال بازگرداندن موارد ارسالی CASA به دلیل عدم انطباق را تا حد زیادی کاهش می دهد.
به سادگی از دستورالعمل CASA AST پیروی کنید که بر اساس آن اسکن برای برنامه شما لازم است.
برای واجد شرایط بودن برای تأیید ردیف 2، نتایج باید نشان دهند:
هیچ یافته ای مرتبط با شمارش نقاط ضعف رایج ( CWEs ) با احتمال بالای بهره برداری وجود ندارد
هیچ یافته ای مرتبط با CWE با احتمال بهره برداری متوسط وجود ندارد (*فقط برای اعتبار سنجی مجدد CASA قابل استفاده است)
راهنمای OWASP از برگه تقلب ASVS می تواند به یافته های اصلاحی ارجاع شود.
استفاده از ابزارهای سفارشی یا جایگزین AST
توسعه دهندگان 3P مجاز به استفاده از ابزار(های) اسکن برنامه سازگار با CWE هستند، مشروط بر اینکه ابزار(ها) الزامات CASA AST را برای آزمایش و نتایج زیر برآورده کنند. لیستی از گزینه ها (غیر جامع) در اینجا ارائه شده است.
ابزارهای سفارشی یا جایگزین AST باید :
استاندارد OWASP Benchmark را رعایت کنید
برای اسکن تمام CWE های مورد نیاز برای برنامه شما پیکربندی شده باشید
ارائه یک خروجی CWE با قابلیت خواندن (به عنوان مثال، XML، CSV) یا PDF
نقشهبرداری کاملی از ترکیبهای ابزار CWE و AST مورد نیاز را میتوان در الگوی نقشهبرداری CASA Tier 2 یافت .
برای واجد شرایط بودن برای تأیید ردیف 2 ، نتایج باید نشان دهند:
هیچ یافته ای مرتبط با شمارش نقاط ضعف رایج ( CWEs ) با احتمال بالای بهره برداری وجود ندارد
هیچ یافته مرتبط با CWE با احتمال بهره برداری متوسط (*فقط برای اعتبار سنجی مجدد CASA قابل استفاده است)
راهنمای OWASP از برگه تقلب ASVS می تواند به یافته های اصلاحی ارجاع شود.