סריקת האפליקציה

אפשרויות סריקה

שימוש בכלים המומלצים לשימוש ב-CASA

קובצי ה-build והתמונות של Docker סופקו מראש כדי לאפשר במהירות סריקות ופלטים. האפשרות הזו מומלצת מאוד ומפחיתה משמעותית את הסיכוי להחזרה של CASA עקב אי-תאימות.

כל מה שצריך לעשות הוא לפעול לפי ההנחיות של AASA AST לפי הסריקות שנדרשות לאפליקציה. 

כדי להיות זכאים לאימות ברמה 2, התוצאות חייבות להופיע:

• אין ממצאים המקושרים לספירות חולשות נפוצות (CWE) עם סבירות גבוהה לניצול

• אין ממצאים שמקושרים ל-CWE עם סבירות בינונית לניצול (*רלוונטי רק לאימות מחדש של CASA)

אפשר לעיין בהנחיות של OWASP בדף של ASVS לתרמיות כדי לתקן ממצאים.

שימוש בכלים מותאמים אישית או חלופי ב-AST

מפתחי צד שלישי מורשים להשתמש בכל הכלים לסריקת אפליקציות שתואמים ל-CWE, בתנאי שהכלים עומדים בדרישות של AST AST לבדיקה ולתוצאות שבהמשך. רשימת האפשרויות (רשימה חלקית) מפורטת כאן. 

כלים מותאמים אישית או חלופיים של AST חייבים:

• עמידה בסטנדרטים של OWASP Comparison

• צריך להגדיר סריקה של כל רכיבי ה-CWE הנדרשים לאפליקציה

• יש לספק פלט CWE/כרטיס CWE קריא במכונה (למשל, XML, CSV) או בפורמט PDF

ניתן למצוא מיפוי מלא של שילובי CWE ו-AST לפי כלים בתבנית המיפוי של CASA שכבה 2.

כדי להיות זכאים לאימות ברמה 2, התוצאות חייבות להופיע:

• אין ממצאים המקושרים לספירות חולשות נפוצות (CWE) עם סבירות גבוהה לניצול

• אין ממצאים שמקושרים ל-CWE עם סבירות בינונית לניצול (*רלוונטי רק לאימות מחדש של CASA)

ניתן לעיין בהנחיות של OWASP בדף של ASVS לתרמיות כדי לתקן ממצאים.