Opzioni di ricerca
Utilizzo degli strumenti CASA Recommended
Vengono forniti file di configurazione e immagini Docker predefiniti per eseguire rapidamente scansioni e output approvati. Questa opzione è vivamente consigliata e riduce notevolmente la probabilità che un invio CASA venga restituito per mancata conformità.
Basta seguire le linee guida CASA AST in base alle analisi richieste per la tua applicazione.
Per poter usufruire della verifica di Livello 2, i risultati devono mostrare:
-
Nessun risultato collegato a enumerazioni di debolezze comuni (CWEs) con alta probabilità di sfruttamento
-
Nessun risultato collegato a CWE con probabilità media di sfruttamento (*applicabile solo per la convalida di CASA)
Per risolvere i problemi, puoi fare riferimento alle linee guida OWASP della scheda di riferimento ASVS.
Utilizzo di strumenti AST personalizzati o alternativi
Gli sviluppatori di terze parti sono autorizzati a utilizzare qualsiasi strumento di scansione delle app compatibile con CWE, a condizione che lo strumento o gli strumenti soddisfino i requisiti dell'AST CASA per i test e i risultati riportati di seguito. Un elenco di opzioni (non esaustivo) è disponibile qui.
Gli strumenti AST personalizzati o alternativi devono:
-
Soddisfare lo standard OWASP Benchmark
-
Essere configurato per eseguire la scansione di tutti i CWE richiesti per l'applicazione
-
Fornisci un output CWE di tipo Pass/Fail leggibile dal computer (ad es. XML, CSV) o PDF
Puoi trovare una mappatura completa delle combinazioni di strumenti AST e CWE richieste nel modello di mappatura del livello 2 CASA.
Per poter usufruire della verifica di Livello 2, i risultati devono mostrare:
-
Nessun risultato collegato a enumerazioni di debolezze comuni (CWEs) con alta probabilità di sfruttamento
-
nessun risultato collegato a CWE con probabilità media di exploit (*applicabile solo per la riconvalida CASA)
Per correggere i risultati, è possibile fare riferimento alle linee guida OWASP della scheda di riferimento ASVS.