Opcje skanowania
Korzystanie z zalecanych przez CASA narzędzi
Dostępne są gotowe pliki konfiguracji i obrazy Dockera, które pozwalają szybko wykonywać zatwierdzone skanowania i dane wyjściowe. Ta opcja jest wysoce zalecana i znacznie ogranicza prawdopodobieństwo zwracania CASA w przypadku niezgodności.
Wystarczy, że będziesz postępować zgodnie ze wskazówkami dotyczącymi CASA AST, które uwzględniają wymagane skanowanie aplikacji.
Aby kwalifikować się do weryfikacji na poziomie 2, wyniki muszą zawierać:
-
Brak wyników powiązanych ze wspólnymi obliczeniami słabości (CWE) z wysokim prawdopodobieństwem wykorzystania
-
Brak wyników powiązanych z CWE z średnim prawdopodobieństwem wykorzystania (*dotyczy tylko ponownej weryfikacji CASA)
Wskazówki dotyczące OWASP z ściągawki ASVS można wykorzystać do działań naprawczych.
Używanie niestandardowych lub alternatywnych narzędzi AST
Deweloperzy innych firm mogą używać dowolnych narzędzi do skanowania aplikacji zgodnych z CWE, o ile są one zgodne z wymaganiami CASA AST dotyczącymi testów i wynikami poniżej. Lista opcji (nie jest wyczerpująca) znajduje się tutaj.
Niestandardowe lub alternatywne narzędzia AST muszą:
-
Spełnia standard OWASP Benchmark
-
Skonfiguruj skanowanie wszystkich aplikacji CWE wymaganych dla Twojej aplikacji
-
Podaj wynik CWE z przekazywaniem lub niepowodzeniem w czytelności dla komputerów (np. XML, CSV) lub PDF
Pełne mapowanie wymaganych kombinacji narzędzi CWE i AST można znaleźć w szablonie mapowania CASA poziomu 2.
Aby kwalifikować się do weryfikacji na poziomie 2, wyniki muszą:
-
Brak wyników powiązanych ze wspólnymi obliczeniami słabości (CWE) z wysokim prawdopodobieństwem wykorzystania
-
brak wyników powiązanych z CWE, które mają średnie prawdopodobieństwo wykorzystania (*tylko w przypadku ponownej weryfikacji CASA)
Wskazówki dotyczące OWASP z ściągawki ASVS można wykorzystać do działań naprawczych.