Opsi Pemindaian
Menggunakan Alat yang Direkomendasikan CASA
File konfigurasi dan image Docker yang telah dibuat sebelumnya disediakan untuk menjalankan pemindaian dan output yang disetujui dengan cepat. Opsi ini sangat direkomendasikan dan sangat mengurangi kemungkinan pengiriman CASA dikembalikan karena ketidaksesuaian.
Cukup ikuti panduan CAT AST berdasarkan pemindaian yang diperlukan untuk aplikasi Anda.
Agar memenuhi syarat untuk verifikasi Tingkat 2, hasil harus menampilkan:
-
Tidak ada temuan yang terkait dengan enumerasi kelemahan umum (CWE) dengan kemungkinan eksploitasi yang tinggi
-
Tidak ada temuan yang terkait dengan CWE dengan kemungkinan eksploitasi menengah (*hanya berlaku untuk validasi ulang CASA)
Panduan OWASP dari ASVS Cheat Sheet dapat dirujuk untuk memulihkan temuan.
Menggunakan Alat AST Alternatif atau Kustom
Developer pihak ketiga diizinkan menggunakan alat pemindaian aplikasi yang kompatibel dengan CWE, asalkan alat tersebut memenuhi persyaratan CASA AST untuk pengujian dan hasil di bawah. Daftar opsi (tidak lengkap) tersedia di sini.
Alat AST kustom atau alternatif harus:
-
Memenuhi standar Tolok Ukur OWASP
-
Dikonfigurasi untuk memindai semua CWE yang diperlukan untuk aplikasi Anda
-
Sediakan output CWE yang lulus/gagal dalam mesin yang dapat dibaca (misalnya, Format XML, CSV) atau PDF
Pemetaan lengkap kombinasi alat CWE dan AST yang diperlukan dapat ditemukan di template pemetaan CASA Tier 2.
Agar memenuhi syarat untuk verifikasi Tingkat 2, hasil harus menampilkan:
-
tidak ada temuan yang terkait dengan enumerasi kelemahan umum (CWE) dengan kemungkinan eksploitasi yang tinggi
-
tidak ada temuan yang tertaut dengan CWE dengan kemungkinan eksploitasi sedang (*hanya berlaku untuk validasi ulang CASA)
Panduan OWASP dari ASVS Cheat Sheet dapat dirujuk untuk memulihkan temuan.