スキャンのオプション
CASA Recommended ツールの使用
承認済みのスキャンと出力をすばやく実行できるように、事前構築済みの構成ファイルと Docker イメージが提供されています。このオプションは、不適合のために CASA 提出が返される可能性を大幅に低減することを強くおすすめします。
アプリケーションに必要なスキャンに基づいて CASA AST ガイダンスに従うだけです。
Tier 2 による確認の対象となるには、結果に以下が表示される必要があります。
ASVS クイック リファレンスの OWASP ガイダンスを参照して、検出結果を修正できます。
カスタム AST ツールまたは代替 AST ツールの使用
サードパーティのデベロッパーは、以下のテストと結果の CASA AST 要件を満たすことを条件として、CWE 対応アプリスキャン ツールを使用できます。オプションの一覧については、こちらをご覧ください。
カスタムまたは代替の AST ツールは、以下の条件を満たす必要があります。
-
OWASP ベンチマーク標準に準拠
-
アプリケーションに必要なすべての CWE をスキャンするように構成する
-
機械で読み取り可能な(例:XML、CSV)または PDF 形式
必要な CWE と AST ツールの組み合わせの完全なマッピングについては、CASA Tier 2 のマッピング テンプレートをご覧ください。
Tier 2 による確認の対象となるには、結果に以下が表示される必要があります。
ASVS クイック リファレンスの OWASP ガイダンスを参照して、検出結果を修正できます。