Opsi Pemindaian
Menggunakan Alat yang Direkomendasikan CASA
File konfigurasi bawaan dan image Docker disediakan untuk melakukan pemindaian dan output yang disetujui dengan cepat. Opsi ini sangat direkomendasikan dan sangat mengurangi kemungkinan pengiriman CASA ditampilkan karena ketidaksesuaian.
Cukup ikuti panduan CASA AST berdasarkan pemindaian yang diperlukan untuk aplikasi Anda.
Agar memenuhi syarat untuk verifikasi Tingkat 2, hasil harus menampilkan:
-
Tidak ada temuan yang terkait dengan enumerasi kelemahan umum (CWEs) dengan kemungkinan eksploitasi yang tinggi
-
Tidak ada temuan yang terkait dengan CWE dengan kemungkinan eksploitasi sedang (*hanya berlaku untuk validasi ulang CASA)
Panduan OWASP dari Tips Praktis ASVS dapat dirujuk untuk memperbaiki temuan.
Menggunakan Alat AST Kustom atau Alternatif
Developer pihak ketiga diizinkan untuk menggunakan alat pemindaian aplikasi yang kompatibel dengan CWE, asalkan alat tersebut memenuhi persyaratan CASA AST untuk pengujian dan hasil di bawah. Daftar opsi (tidak lengkap) disediakan di sini.
Alat AST kustom atau alternatif harus:
-
Memenuhi standar Benchmark OWASP
-
Dikonfigurasi untuk memindai semua CWE yang diperlukan untuk aplikasi Anda
-
Berikan output CWE lulus/gagal dalam format yang dapat dibaca mesin (misalnya, XML, CSV) atau format PDF
Pemetaan lengkap kombinasi alat CWE dan AST yang diperlukan dapat ditemukan di template pemetaan CASA Tingkat 2.
Agar memenuhi syarat untuk verifikasi Tingkat 2, hasil harus menunjukkan:
-
tidak ada temuan yang terkait dengan enumerasi kelemahan umum (CWEs) dengan kemungkinan eksploit tinggi
-
tidak ada temuan yang terkait dengan CWE dengan kemungkinan eksploitasi sedang (*hanya berlaku untuk validasi ulang CASA)
Panduan OWASP dari Tips Praktis ASVS dapat dirujuk untuk memperbaiki temuan.