Opções de verificação
Como usar as ferramentas recomendadas pela CASA
Arquivos de configuração pré-criados e imagens do Docker são fornecidos para executar rapidamente verificações e saídas aprovadas. Essa opção é altamente recomendada e reduz muito a probabilidade de um envio de CASA ser devolvido por não conformidade.
Basta seguir as orientações do CASA AST com base nos verificações necessárias para o aplicativo.
Para se qualificar para a verificação de nível 2, os resultados precisam mostrar:
-
Nenhuma descoberta vinculada a enumerações de vulnerabilidades comuns (CWEs) com alta probabilidade de exploração
-
Nenhuma descoberta vinculada a CWEs com probabilidade média de exploração (*aplicável somente para revalidação da CASA)
As orientações do OWASP da Folha de referência do ASVS podem ser consultadas para corrigir descobertas.
Como usar ferramentas AST personalizadas ou alternativas
Os desenvolvedores de terceiros podem usar qualquer ferramenta de verificação de apps compatível com CWE, desde que ela atenda aos requisitos do AST do CASA para testes e resultados abaixo. Veja uma lista de opções (não abrangentes) aqui.
As ferramentas AST personalizadas ou alternativas precisam:
-
Atender ao padrão Benchmark do OWASP
-
ser configurado para verificar todos os CWEs necessários para seu aplicativo;
-
Forneça uma saída de CWE de aprovação/reprovação legível por máquina (por exemplo, XML, CSV) ou PDF
Um mapeamento completo das combinações de ferramentas de AST e CWEs obrigatórios pode ser encontrado no modelo de mapeamento da CASA de nível 2.
Para se qualificar para a verificação de nível 2, os resultados precisam mostrar:
-
nenhuma descoberta ligada a enumerações de fraqueza comuns (CWEs) com alta probabilidade de exploração
-
nenhuma descoberta vinculada a CWEs com probabilidade média de exploração (*apenas aplicável à revalidação do CASA)
As orientações do OWASP da folha de referência do ASVS podem ser consultadas para corrigir as descobertas.