Параметры сканирования
Использование рекомендованных CASA инструментов
Предоставляются предварительно созданные файлы конфигурации и образы Docker для быстрого выполнения утвержденных сканирований и вывода результатов. Этот вариант настоятельно рекомендуется, поскольку он значительно снижает вероятность возврата заявки CASA из-за несоответствия.
Просто следуйте инструкциям CASA AST, исходя из того, какие сканирования необходимы для вашего приложения.
Чтобы претендовать на проверку уровня 2, результаты должны показывать:
Нет результатов, связанных с общими списками уязвимостей ( CWE ) с высокой вероятностью использования эксплойтов.
Нет результатов, связанных с CWE со средней вероятностью использования эксплойта (*применимо только для повторной проверки CASA )
Для исправления ошибок можно использовать рекомендации OWASP из шпаргалки ASVS .
Использование пользовательских или альтернативных инструментов AST
Разработчикам 3P разрешается использовать любые CWE-совместимые инструменты сканирования приложений при условии, что эти инструменты соответствуют требованиям CASA AST для тестирования и приведены ниже результаты. Список опций (не полный) представлен здесь .
Пользовательские или альтернативные инструменты AST должны :
Соответствие стандарту OWASP Benchmark
Настройте сканирование всех CWE, необходимых для вашего приложения.
Предоставьте вывод CWE «прошел/не прошел» в машиночитаемом формате (например, XML, CSV) или PDF.
Полное сопоставление необходимых комбинаций инструментов CWE и AST можно найти в шаблоне сопоставления CASA Tier 2 .
Чтобы претендовать на проверку уровня 2 , результаты должны показывать:
нет результатов, связанных с общими списками уязвимостей ( CWE ) с высокой вероятностью использования эксплойтов
нет результатов, связанных с CWE со средней вероятностью использования эксплойта (*применимо только для повторной проверки CASA )
Для исправления ошибок можно использовать рекомендации OWASP из шпаргалки ASVS .