アプリをスキャンする

Tier 2 カスタマイズ
開始記号

スキャンのオプション

開始記号

承認済みのスキャンと出力をすばやく実行できるように、事前構築済みの構成ファイルと Docker イメージが提供されています。このオプションは、不適合のために CASA 提出が返される可能性を大幅に低減することを強くおすすめします。

アプリケーションに必要なスキャンに基づいて CASA AST ガイダンスに従うだけです。 

Tier 2 による確認の対象となるには、結果に以下が表示される必要があります。

  • 悪用される可能性が高い、一般的な脆弱性の列挙(CWE)と関連する検出結果はありません。

  • 悪用の可能性が中程度の CWE に関連する検出結果(*CASA の再検証にのみ適用されます)

ASVS クイック リファレンスの OWASP ガイダンスを参照して、検出結果を修正できます。

開始記号

カスタム AST ツールまたは代替 AST ツールの使用

サードパーティのデベロッパーは、以下のテストと結果の CASA AST 要件を満たすことを条件として、CWE 対応アプリスキャン ツールを使用できます。オプションの一覧については、こちらをご覧ください。 

カスタムまたは代替の AST ツールは、以下の条件を満たす必要があります。

  • OWASP ベンチマーク標準に準拠

  • アプリケーションに必要なすべての CWE をスキャンするように構成する

  • 機械で読み取り可能な(例:XML、CSV)または PDF 形式


必要な CWE と AST ツールの組み合わせの完全なマッピングについては、CASA Tier 2 のマッピング テンプレートをご覧ください。

Tier 2 による確認の対象となるには、結果に以下が表示される必要があります。

  • 悪用の可能性が高い一般的な弱点列挙(CWE)と関係している検出結果がない

  • 悪用の可能性が中程度の CWE に関連する検出結果なし(*CASA 再検証の場合のみ適用)

ASVS クイック リファレンスの OWASP ガイダンスを参照して、検出結果を修正できます。

次のステップ