אפשרויות סריקה
שימוש בכלים המומלצים CASA
קובצי תצורה ותמונות Docker שנוצרו מראש זמינים לביצוע מהיר של סריקות ופלט שאושרו. מומלץ מאוד להשתמש באפשרות הזו, כי היא מפחיתה באופן משמעותי את הסבירות שהבקשה ל-CASA תוחזר בגלל אי-תאימות.
פשוט פועלים לפי ההנחיות של CASA AST בהתאם לסריקות הנדרשות לאפליקציה.
כדי לעמוד בדרישות האימות ברמה 2, התוצאות צריכות לכלול:
-
אין ממצאים שקשורים לרשימה של נקודות חולשה נפוצות (CWEs) עם סבירות גבוהה לניצול לרעה
-
לא נמצאו ממצאים שקשורים לנקודות חולשה בתוכנה (CWE) עם סבירות בינונית לניצול לרעה (*רלוונטי רק לאימות מחדש של CASA)
אפשר להפנות להנחיות לגבי OWASP מתוך ASVS Cheat Sheet כדי לתקן את הממצאים.
שימוש בכלים מותאמים אישית או חלופיים ל-AST
מפתחי צד שלישי מורשים להשתמש בכל כלי סריקת אפליקציות שתואם ל-CWE, בתנאי שהכלים עומדים בדרישות CASA AST לבדיקה ולתוצאות שבהמשך. כאן מפורטת רשימה חלקית של האפשרויות.
כלים מותאמים אישית או חלופיים ל-AST חייבים:
-
עומדים בסטנדרט של OWASP Benchmark
-
להיות מוגדר לסרוק את כל חנויות CWE שנדרשות לאפליקציה שלך
-
יש לספק פלט של CWE עם תוצאה של 'הצלחה' או 'כישלון', בפורמט קריא למכונות (למשל, XML, CSV) או בפורמט PDF
מיפוי מלא של שילובי הכלים הנדרשים ל-AST ול-CWE מופיע בתבנית המיפוי של CASA ברמה 2.
כדי לעמוד בדרישות האימות ברמה 2, בתוצאות צריך להופיע:
-
אין ממצאים שקשורים לרשימה של נקודות חולשה נפוצות (CWEs) עם סבירות גבוהה לניצול לרעה
-
לא נמצאו ממצאים שקשורים לנקודות חולשה בתוכנה (CWE) עם סבירות בינונית לניצול לרעה (*רלוונטי רק לאימות מחדש של CASA)
אפשר להיעזר בהנחיות לגבי OWASP מתוך ASVS Cheat Sheet כדי לתקן את הממצאים.