Параметры сканирования
Использование рекомендуемых инструментов CASA
Предварительно созданные файлы конфигурации и образы Docker позволяют быстро выполнять утвержденные сканирования и выходные данные. Этот вариант настоятельно рекомендуется и значительно снижает вероятность того, что представление CASA будет возвращено из-за несоответствия.
Просто следуйте инструкциям CASA AST в зависимости от того, какие сканирования необходимы для вашего приложения.
Чтобы пройти проверку уровня 2, результаты должны показывать:
Нет выводов, связанных с общими перечислениями слабых мест ( CWE ) с высокой вероятностью эксплойта.
Нет результатов, связанных с CWE со средней вероятностью использования (*применимо только для повторной проверки CASA )
Рекомендации OWASP из Памятки ASVS можно использовать для исправления результатов.
Использование пользовательских или альтернативных инструментов AST
Разработчикам 3P разрешено использовать любые средства сканирования приложений, совместимые с CWE, при условии, что эти средства удовлетворяют требованиям CASA AST для тестирования и приведены ниже результаты. Список опций (не исчерпывающий) приведен здесь .
Пользовательские или альтернативные инструменты AST должны :
Соответствие стандарту OWASP Benchmark
Настройте сканирование всех CWE, необходимых для вашего приложения.
Предоставлять выходные данные CWE «пройдено/не пройдено» в машиночитаемом формате (например, XML, CSV) или в формате PDF.
Полное сопоставление требуемых комбинаций инструментов CWE и AST можно найти в шаблоне сопоставления уровня 2 CASA .
Чтобы пройти проверку уровня 2 , результаты должны показывать:
нет выводов, связанных с перечислением общих слабых мест ( CWE ) с высокой вероятностью эксплойта
нет результатов, связанных с CWE со средней вероятностью использования (*применимо только для повторной проверки CASA )
Рекомендации OWASP из Памятки ASVS можно использовать для исправления результатов.