ตัวเลือกการสแกน
การใช้เครื่องมือที่แนะนําของ CASA
ไฟล์การกําหนดค่าที่สร้างไว้ล่วงหน้าและอิมเมจ Dock มีไว้เพื่อ สแกนและเอาต์พุตที่ได้รับอนุมัติอย่างรวดเร็ว ขอแนะนําให้ใช้ตัวเลือกนี้และช่วยลดโอกาสที่จะมีการส่งข้อมูล CASA คืนผลที่ไม่สอดคล้องกันได้อย่างมาก
เพียงทําตามคําแนะนํา CASA AST ตามการสแกนที่จําเป็นสําหรับแอปพลิเคชันของคุณ
ผลการค้นหาต้องมีคุณสมบัติดังนี้จึงจะมีสิทธิ์ได้รับการยืนยันระดับ 2
-
ไม่มีผลใดๆ ที่ลิงก์กับจํานวนจุดอ่อนที่พบได้ทั่วไป (CWE) ซึ่งมีความเป็นไปได้สูงในการแสวงหาประโยชน์จากสูง
-
ไม่มีผลการวิจัยที่ลิงก์กับ CWE ซึ่งมีความเป็นไปได้ว่าจะเป็นการแสวงหาประโยชน์จากปานกลาง (*มีผลกับการตรวจสอบความถูกต้องของ CASA อีกครั้งเท่านั้น)
ดูคําแนะนํา OWASP จากข้อมูลสรุปเกี่ยวกับ ASVS เพื่อการแก้ไขข้อมูลที่ค้นพบ
การใช้เครื่องมือ AST ที่กําหนดเองหรือทางเลือก
นักพัฒนาซอฟต์แวร์ 3P ได้รับอนุญาตให้ใช้เครื่องมือสแกนแอปที่ใช้งานร่วมกับ CWE ได้ โดยมีเครื่องมือที่เป็นไปตามข้อกําหนดของ CASA AST สําหรับการทดสอบและผลลัพธ์ด้านล่าง ดูรายการตัวเลือก (ไม่ครอบคลุม) ที่นี่
เครื่องมือ AST ที่กําหนดเองหรือทางเลือกอื่นต้องมีลักษณะดังนี้
-
ตรงตามมาตรฐาน OWASP
-
กําหนดค่าให้สแกน CWE ทั้งหมดที่จําเป็นสําหรับแอปพลิเคชัน
-
ระบุเอาต์พุต CWE ผ่าน/ไม่ผ่านในเครื่องที่อ่านได้ (เช่น รูปแบบ XML, CSV) หรือ PDF
คุณดูการรวมเครื่องมือ CWE และ AST ที่จําเป็นต้องใช้ใน CASA ระดับ 2 ได้เทมเพลตการแมป
หากต้องการมีคุณสมบัติในการยืนยันระดับ 2 ผลลัพธ์ต้องแสดง
-
ไม่มีผลใดๆ ที่ลิงก์กับจํานวนจุดอ่อนที่พบได้ทั่วไป (CWE) ซึ่งมีความเป็นไปได้สูงในการแสวงหาประโยชน์จากสูง
-
ผลการวิจัยที่เชื่อมโยงกับ CWE ที่มีความเป็นไปได้ในการแสวงหาประโยชน์จากปานกลาง (*เกี่ยวข้องกับการตรวจสอบอีกครั้งของ CASA เท่านั้น)
ดูคําแนะนํา OWASP จากข้อมูลสรุปเกี่ยวกับ ASVS เพื่อการแก้ไขผลการวิจัย