앱 검사

검색 옵션

CASA 권장 도구 사용

승인된 스캔 및 출력을 신속하게 수행할 수 있도록 사전 빌드된 구성 파일과 Docker 이미지가 제공됩니다. 이 옵션은 권장되지 않으며 불일치로 인해 CASA 제출이 반환될 가능성을 크게 줄여줍니다.

애플리케이션에 필요한 검사에 따라 CASA AST 안내를 따르기만 하면 됩니다. 

Tier 2 인증을 받으려면 검색결과에 다음 내용이 표시되어야 합니다.

• 악용 가능성이 높은 일반적인 약점 열거 (CWE)에 연결된 발견 항목 없음

• 악용 가능성이 중간인 CWE에 연결된 발견 항목이 없습니다 (*CASA 재검증에만 해당).

ASVS 요약본의 OWASP 안내를 참조하여 발견 항목을 해결할 수 있습니다.

맞춤 또는 대체 AST 도구 사용

서드 파티 개발자는 CWE 호환 앱 스캔 도구를 사용할 수 있지만, 이러한 도구가 아래의 테스트 및 결과 확인을 위한 CASA AST 요구사항을 충족해야 합니다. 포괄적이지 않은 옵션 목록이 여기에 나와 있습니다. 

맞춤 또는 대체 AST 도구는 다음 요건을 충족해야 합니다.

• OWASP 벤치마크 표준 충족

• 애플리케이션에 필요한 모든 CWE를 검색하도록 구성

• 머신이 판독 가능한 경우 성공/실패 CWE 출력을 제공합니다 (예: XML, CSV) 또는 PDF 형식

필요한 CWE 및 AST 도구 조합의 전체 매핑은 CASA Tier 2 매핑 템플릿에서 확인할 수 있습니다.

Tier 2 인증을 받으려면 결과에 다음이 표시되어야 합니다.

• 악용 가능성이 높은 일반적인 약점 열거 (CWE)와 관련된 발견 항목 없음

• 악용 가능성이 보통인 CWE에 연결된 발견 항목 없음 (*CASA 재검증에만 해당)

ASVS 요약본의 OWASP 안내를 참조하여 발견 항목을 해결할 수 있습니다.