Opcje skanowania
Korzystanie z zalecanych narzędzi CASA
Aby szybko wykonywać zatwierdzone skanowania i wyprowadzać dane wyjściowe, udostępniamy gotowe pliki konfiguracji i obrazy Dockera. Ta opcja jest zdecydowanie zalecana i znacznie zmniejsza prawdopodobieństwo zwrócenia żądania CASA z powodu niezgodności.
Postępuj zgodnie z zaleceniami zespołu AST w CASA, aby określić, które skanowania są wymagane w przypadku Twojej aplikacji.
Aby kwalifikować się do weryfikacji na poziomie 2, wyniki muszą zawierać:
-
Brak wyników powiązanych z typowymi lukami w zabezpieczeniach (CWEs) o wysokiej podatności na wykorzystanie
-
Brak wyników powiązanych z CWE o średnim prawdopodobieństwie wykorzystania (*dotyczy tylko ponownej weryfikacji CASA)
Aby usunąć znalezione problemy, możesz skorzystać z instrukcji OWASP zawartych w arkuszu ASVS.
Korzystanie z niestandardowych lub alternatywnych narzędzi AST
Deweloperzy zewnętrzni mogą używać dowolnych narzędzi do skanowania aplikacji zgodnych z CWE, pod warunkiem że spełniają one wymagania dotyczące testów i wyników CASA AST. Listę dostępnych opcji (niekompletną) znajdziesz tutaj.
Niestandardowe lub alternatywne narzędzia AST muszą:
-
spełniać standard OWASP Benchmark;
-
skanować wszystkie CWE wymagane w przypadku Twojej aplikacji;
-
Podaj dane wyjściowe CWE z oznaczeniem „pass” lub „fail” w formie czytelnej dla komputera (np. XML, CSV lub PDF.
Pełne mapowanie wymaganych kombinacji narzędzi CWE i AST znajdziesz w szablonie mapowania CASA poziomu 2.
Aby kwalifikować się do weryfikacji na poziomie 2, wyniki muszą zawierać:
-
brak wyników powiązanych z typowymi lukami w zabezpieczeniach (CWEs) o wysokiej podatności na wykorzystanie
-
brak wyników powiązanych z CWE o średniej podatności na wykorzystanie (*dotyczy tylko potwierdzenia CASL)
Wskazówki dotyczące OWASP zawarte w ściągawce ASVS można odwoływać się do wyników zaradczych.