Analyser votre application

personnalisation de niveau 2
panneau de départ

Options d'analyse

panneau de départ

Des fichiers de configuration et des images Docker prédéfinis sont fournis pour effectuer rapidement des analyses et des sorties approuvées. Cette option est vivement recommandée et réduit considérablement la probabilité qu'une soumission CASA soit renvoyée pour non-conformité.

Il vous suffit de suivre les conseils CASA AST en fonction des analyses requises pour votre application. 

Pour être éligible à la validation de niveau 2, les résultats doivent indiquer :

  • Aucun résultat lié aux énumérations de faiblesse communes (CWE) avec une probabilité élevée d'exploitation

  • Aucun résultat lié aux CWE avec une probabilité d'exploitation moyenne (* ne s'applique qu'aux revalidations de la certification CASA)

Vous pouvez vous référer aux conseils de l'OWASP figurant dans l'aide-mémoire ASVS afin de résoudre les problèmes.

signe de départ

Utiliser des outils AST personnalisés ou alternatifs

Les développeurs tiers sont autorisés à utiliser n'importe quel outil d'analyse d'applications compatible avec les CWE, à condition que l'outil ou les outils respectent les exigences de l'AST CASA pour les tests et les résultats ci-dessous. Vous trouverez une liste (non exhaustive) des options sur cette page

Les outils AST personnalisés ou alternatifs doivent :

  • Respecter la norme OWASP Benchmark

  • Être configuré pour analyser tous les CWE requis pour votre application

  • Fournissez une sortie de CWE "pass"/"fail" au format lisible par machine (par exemple, au format XML, CSV ou PDF ;


Vous trouverez un mappage complet des combinaisons d'outils AST et de CWE requises dans le modèle de mappage de niveau 2 de CASA.

Pour être éligible à la validation de niveau 2, les résultats doivent indiquer :

  • Aucun résultat lié à des énumérations de failles courantes (CWEs) avec un risque élevé d'exploitation

  • Aucun résultat lié aux failles logicielles de code source (CWE) avec une probabilité moyenne d'exploitation (* ne s'applique qu'aux revalidations de la certification CASA)

Vous pouvez vous référer aux conseils de l'OWASP de la fiche récapitulative ASVS pour corriger les résultats.

Étape suivante