स्कैन करने के विकल्प
CASA के सुझाए गए टूल का इस्तेमाल
पहले से बनी कॉन्फ़िगरेशन फ़ाइलें और डॉकर इमेज तुरंत स्कैन और आउटपुट करने के लिए दी जाती हैं. हम इस विकल्प का इस्तेमाल करने का सुझाव देते हैं. साथ ही, नियमों का पालन न करने पर, CASA सबमिशन को सबमिट करने की संभावना बहुत कम हो जाती है.
आपके ऐप्लिकेशन के लिए स्कैन ज़रूरी है या नहीं, इसके हिसाब से CASA AST के दिशा-निर्देश का पालन करें.
टीयर 2 की पुष्टि करने के लिए, नतीजों में यह जानकारी दिखनी चाहिए:
-
आम तौर पर, जोखिम की आशंका से जुड़ी सामान्य जानकारी (सीडब्ल्यूई) से जुड़ी कोई जानकारी नहीं मिली. साथ ही, ऐसा करने की संभावना ज़्यादा थी
-
ऐसा हो सकता है कि medium से फ़ायदा पाने की संभावना वाले CWE से कोई नतीजा न जुड़ा हो (*सिर्फ़ CASA को फिर से पुष्टि करने के लिए लागू किया गया है)
खोज से मिले नतीजों को ठीक करने के लिए, एएसवीएस चीट शीट में दिए गए OWASP के दिशा-निर्देश का इस्तेमाल किया जा सकता है.
पसंद के मुताबिक या विकल्प के तौर पर चुने गए एएसटी टूल का इस्तेमाल करना
3P डेवलपर को CWE के साथ काम करने वाले ऐप्लिकेशन को स्कैन करने वाले किसी भी टूल का इस्तेमाल करने की अनुमति होती है. हालांकि, इसके लिए ज़रूरी है कि टूल, CASA की AST से जुड़ी ज़रूरी शर्तों को पूरा करते हों. जांच से जुड़े नतीजे नीचे दिए गए हों. विकल्पों की सूची (ज़्यादा जानकारी नहीं) यहां दी गई है.
कस्टम या वैकल्पिक AST टूल:
-
OWASP मानदंड को पूरा करें
-
आपके ऐप्लिकेशन के लिए ज़रूरी सभी CWEs स्कैन करने के लिए कॉन्फ़िगर किए गए हों
-
मशीन लर्निंग में पास/फ़ेल सीडब्ल्यूई आउटपुट दें (उदाहरण के लिए, एक्सएमएल, CSV) या PDF फ़ॉर्मैट
सीएसए और एएसटी टूल के कॉम्बिनेशन की पूरी जानकारी, CASA टियर 2 मैपिंग टेंप्लेट में मिल सकती है.
टीयर 2 की पुष्टि करने के लिए, नतीजों में यह जानकारी दिखनी चाहिए:
-
आम तौर पर, जोखिम की आशंका से जुड़ी सामान्य जानकारी (सीडब्ल्यूई) से जुड़ी कोई खोज नहीं की गई. साथ ही, ऐसा करने की संभावना ज़्यादा है
-
ऐसा हो सकता है कि CWE से जुड़े किसी नतीजे में, शोषण की संभावना मीडियम दिख रही हो (*सिर्फ़ CASA की फिर से पुष्टि करने पर लागू होगा)
खोज से मिले नतीजों को ठीक करने के लिए, एएसवीएस चीट शीट में दिए गए ओडब्ल्यूएएसपी के दिशा-निर्देशों का इस्तेमाल किया जा सकता है.