Opções de busca
Como usar as ferramentas recomendadas pelo CASA
Arquivos de configuração pré-criados e imagens do Docker são fornecidos para executar rapidamente verificações e saídas aprovadas. Essa opção é altamente recomendada e reduz muito a probabilidade de um envio do CASA ser retornado por não conformidade.
Basta seguir as orientações CAS AST baseadas nas verificações necessárias para o aplicativo.
Para se qualificar para a verificação do nível 2, os resultados precisam mostrar:
-
Nenhuma descoberta foi vinculada a enumerações de fraqueza comuns (CWEs) com probabilidade alta de exploração
-
Nenhuma descoberta vinculada aos CWEs com probabilidade média de exploração (*aplicável somente para revalidação de CASA)
As orientações da OWASP da Folha de referência do ASVS (em inglês) podem ser consultadas para corrigir as descobertas.
Como usar ferramentas AST personalizadas ou alternativas
Os desenvolvedores terceirizados têm permissão para usar qualquer ferramenta de verificação de apps compatível com o CWE, desde que atendam aos requisitos de CASA AST para testes e resultados abaixo. Veja aqui uma lista das opções (não abrangente).
As ferramentas AST personalizadas ou alternativas precisam:
-
Conheça o padrão OWASP Benchmark
-
Ser configurada para verificar todos os CWEs necessários para seu aplicativo
-
Forneça uma saída de CWE de aprovação/reprovação em máquina legível (por exemplo, XML, CSV) ou PDF
Um mapeamento completo das combinações necessárias de ferramentas do CWE e AST pode ser encontrado no modelo de mapeamentodo CASA nível 2.
Para se qualificar para a verificação de nível 2, os resultados precisam mostrar:
-
nenhuma descoberta foi vinculada a enumerações de fraqueza comuns (CWEs) com probabilidade alta de exploração;
-
nenhuma descoberta vinculada a CWEs com probabilidade média de exploração (*aplicável somente para revalidação de CASA)
As orientações da OWASP da Folha de referência do ASVS (em inglês) podem ser consultadas para corrigir as descobertas.