Opzioni di ricerca
Utilizzo degli strumenti CASA consigliati
Vengono forniti file di configurazione predefiniti e immagini Docker per eseguire rapidamente scansioni ed output approvati. Questa opzione è vivamente consigliata e riduce notevolmente le probabilità che un invio CASA venga restituito per non conformità.
Segui le istruzioni CASA AST in base alle scansioni necessarie per la tua applicazione.
Per essere idonei alla verifica di livello 2, i risultati devono mostrare:
-
Nessun risultato collegato a enumerazioni comuni di debolezza (CWE) con un'alta probabilità di sfruttamento
-
Nessun risultato collegato a CWE con probabilità medio di sfruttamento (*applicabile solo per la riconvalida CASA)
Puoi fare riferimento alla scheda di riferimento di ASVS per trovare informazioni correttive.
Utilizzo di strumenti AST personalizzati o alternativi
Gli sviluppatori di terze parti possono utilizzare qualsiasi strumento di scansione delle app compatibile con CWE, a condizione che soddisfino i requisiti CASA AST per i test e i risultati riportati di seguito. Qui è disponibile un elenco di opzioni (non complete).
Gli strumenti AST personalizzati o alternativi devono:
-
Standard OWASP Benchmark
-
Deve essere configurato per scansionare tutte le CWE richieste per la tua applicazione
-
Fornisci un output CWE di pass/fail in formato leggibile dal computer (ad es. XML, CSV) o PDF
Una mappatura completa delle combinazioni richieste di strumenti CWE e AST è disponibile nel modello di mappatura CASA Livello 2.
Per essere idonei alla verifica di livello 2, i risultati devono mostrare:
-
Nessun risultato collegato a enumerazioni comuni di debolezza (CWE) con un'alta probabilità di sfruttamento
-
Nessun risultato collegato a CWE con probabilità media di sfruttamento (*applicabile solo per la riconvalida di CASA)
Puoi fare riferimento alla guida OWASP della scheda di riferimento di ASVS per risolvere i problemi riscontrati.