ตัวเลือกการสแกน
การใช้เครื่องมือที่ CASA แนะนำ
มีไฟล์การกําหนดค่าและอิมเมจ Docker ที่สร้างขึ้นล่วงหน้าเพื่อให้ทำการสแกนที่ได้รับอนุมัติและแสดงผลลัพธ์ได้อย่างรวดเร็ว เราขอแนะนําอย่างยิ่งให้ใช้ตัวเลือกนี้เนื่องจากจะช่วยลดโอกาสที่การส่ง CASA จะได้รับการปฏิเสธเนื่องจากไม่เป็นไปตามข้อกําหนด
เพียงทำตามคำแนะนำของ CASA AST โดยพิจารณาจากประเภทการสแกนที่จำเป็นสำหรับแอปพลิเคชัน
ผลการค้นหาต้องมีคุณสมบัติต่อไปนี้จึงจะมีสิทธิ์รับการยืนยันระดับ 2
-
ไม่พบข้อมูลที่เชื่อมโยงกับการแจกแจงจุดอ่อนทั่วไป (CWE) ที่มีแนวโน้มการแสวงหาประโยชน์สูง
-
ไม่พบรายการที่เชื่อมโยงกับ CWE ที่มีแนวโน้มปานกลางที่จะเกิดการโจมตี (*ใช้ได้กับการรับรอง CASA อีกครั้งเท่านั้น)
คุณใช้คำแนะนำของ OWASP จากชีตสรุป ASVS เพื่อแก้ไขสิ่งที่พบได้
การใช้เครื่องมือ AST ที่กำหนดเองหรือเครื่องมืออื่น
นักพัฒนาซอฟต์แวร์ 3P ได้รับอนุญาตให้ใช้เครื่องมือสแกนแอปที่เข้ากันได้กับ CWE โดยมีเครื่องมือที่เป็นไปตามข้อกำหนดของ CASA AST สำหรับการทดสอบและผลลัพธ์ด้านล่าง ดูรายการตัวเลือก (ไม่ครอบคลุม) ได้ที่นี่
เครื่องมือ AST ที่กําหนดเองหรือเครื่องมืออื่นต้องมีคุณสมบัติดังนี้
-
เป็นไปตามมาตรฐาน OWASP Comparison
-
ได้รับการกําหนดค่าให้สแกน CWE ทั้งหมดที่จําเป็นสําหรับแอปพลิเคชัน
-
ระบุเอาต์พุต CWE ที่ผ่าน/ไม่ผ่านในรูปแบบที่เครื่องอ่านได้ (เช่น XML, CSV หรือ PDF
ดูการแมป CWE ที่จำเป็นและชุดเครื่องมือ AST ทั้งหมดได้ในเทมเพลตการแมปของ CASA ระดับ 2
หากต้องการรับการยืนยันระดับ 2 ผลลัพธ์ต้องแสดงข้อมูลต่อไปนี้
-
ไม่พบรายการที่เชื่อมโยงกับการแจกแจงจุดอ่อนที่พบบ่อย (CWEs) ที่มีแนวโน้มสูงที่จะถูกหาช่องโหว่
-
ไม่มีสิ่งที่พบซึ่งเชื่อมโยงกับ CWE ที่มีแนวโน้มปานกลางที่จะเกิดการโจมตี (*ใช้ได้กับการรับรอง CASA อีกครั้งเท่านั้น)
คำแนะนำ OWASP จากข้อมูลสรุปของ ASVS ใช้เพื่อชดเชยผลการสืบค้นได้