アプリをスキャン

Tier 2 のカスタマイズ
開始のサイン

スキャンのオプション

開始記号

承認済みのスキャンと出力をすばやく実行できるように、ビルド済みの構成ファイルと Docker イメージが用意されています。このオプションを強くおすすめします。このオプションを使用すると、CASA の送信が不一致のために返される可能性が大幅に低くなります。

アプリケーションに必要なスキャンに基づいて、CASA AST ガイダンスに従ってください。 

Tier 2 の適格性確認を受けるには、結果に以下が表示される必要があります。

  • 悪用される可能性が高い一般的な脆弱性列挙(CWE)に関連する検出結果なし

  • 悪用される可能性中程度の CWE に関連する検出結果なし(*CASA の再検証にのみ適用)

検出結果を修正するには、ASVS クイック リファレンスの OWASP ガイダンスを参照してください。

開始のサイン

カスタムまたは代替の AST ツールの使用

サードパーティ デベロッパーは、CWE 互換のアプリ スキャンツールを使用できます。ただし、そのツールが以下のテストと結果に関する CASA AST 要件を満たしている必要があります。オプションの一覧(包括的ではありません)は、こちらでご確認いただけます。 

カスタムまたは代替の AST ツールは、以下を満たす必要があります。

  • OWASP ベンチマーク標準に準拠している

  • アプリケーションに必要なすべての CWE をスキャンするように構成されている

  • 機械が読み取れる形式(XML、CSV)または PDF 形式


必要な CWE と AST ツールの組み合わせの完全なマッピングは、CASA Tier 2 のマッピング テンプレートで確認できます。

Tier 2 の確認を受けるには、結果に以下が示されている必要があります。

  • エクスプロイトの可能性が高い共通の弱点の列挙(CWEs)に関連する検出結果なし

  • 悪用される可能性中程度の CWE に関連する検出結果なし(*CASA の再検証にのみ適用)

検出結果を修正するには、ASVS クイック リファレンスの OWASP ガイダンスを参照してください。

次のステップ