אפשרויות סריקה
שימוש בכלים המומלצים לשימוש ב-CASA
קובצי ה-build והתמונות של Docker סופקו מראש כדי לאפשר במהירות סריקות ופלטים. האפשרות הזו מומלצת מאוד ומפחיתה משמעותית את הסיכוי להחזרה של CASA עקב אי-תאימות.
כל מה שצריך לעשות הוא לפעול לפי ההנחיות של AASA AST לפי הסריקות שנדרשות לאפליקציה.
כדי להיות זכאים לאימות ברמה 2, התוצאות חייבות להופיע:
-
אין ממצאים המקושרים לספירות חולשות נפוצות (CWE) עם סבירות גבוהה לניצול
-
אין ממצאים שמקושרים ל-CWE עם סבירות בינונית לניצול (*רלוונטי רק לאימות מחדש של CASA)
אפשר לעיין בהנחיות של OWASP בדף של ASVS לתרמיות כדי לתקן ממצאים.
שימוש בכלים מותאמים אישית או חלופי ב-AST
מפתחי צד שלישי מורשים להשתמש בכל הכלים לסריקת אפליקציות שתואמים ל-CWE, בתנאי שהכלים עומדים בדרישות של AST AST לבדיקה ולתוצאות שבהמשך. רשימת האפשרויות (רשימה חלקית) מפורטת כאן.
כלים מותאמים אישית או חלופיים של AST חייבים:
-
עמידה בסטנדרטים של OWASP Comparison
-
צריך להגדיר סריקה של כל רכיבי ה-CWE הנדרשים לאפליקציה
-
יש לספק פלט CWE/כרטיס CWE קריא במכונה (למשל, XML, CSV) או בפורמט PDF
ניתן למצוא מיפוי מלא של שילובי CWE ו-AST לפי כלים בתבנית המיפוי של CASA שכבה 2.
כדי להיות זכאים לאימות ברמה 2, התוצאות חייבות להופיע:
-
אין ממצאים המקושרים לספירות חולשות נפוצות (CWE) עם סבירות גבוהה לניצול
-
אין ממצאים שמקושרים ל-CWE עם סבירות בינונית לניצול (*רלוונטי רק לאימות מחדש של CASA)
ניתן לעיין בהנחיות של OWASP בדף של ASVS לתרמיות כדי לתקן ממצאים.