Tarama Seçenekleri
CASA tarafından önerilen araçları kullanma
Onaylanmış tarama ve çıkışları hızlı bir şekilde gerçekleştirmek için önceden oluşturulmuş yapılandırma dosyaları ve Docker görüntüleri sağlanır. Bu seçenek önemle tavsiye edilir ve uygunsuzluk nedeniyle CASA gönderiminin döndürülme olasılığını önemli ölçüde azaltır.
Uygulamanız için hangi taramaların gerekli olduğuna bağlı olarak CASA AST kılavuzunu izlemeniz yeterlidir.
2. Katman doğrulamadan yararlanabilmek için sonuçlarda şunlar gösterilmelidir:
-
İstismar edilme olasılığı yüksek olan ve sık görülen zayıflık artışlarıyla (CWE) ilişkili bulgu yok
-
Kötüye kullanım olasılığı orta olan CWE'lerle bağlantılı bulgu yok (*yalnızca CASA yeniden doğrulaması için geçerlidir)
Bulguların düzeltilmesi amacıyla ASVS Yardımcı Programı Kılavuzundan OWASP kılavuzu verilebilir.
Özel veya Alternatif AST Araçlarını Kullanma
Üçüncü taraf geliştiricilerin, aşağıdaki test ve sonuçlar için CASA AST şartlarını karşılaması koşuluyla, CWE uyumlu uygulama tarama araçlarını kullanmalarına izin verilir. Kapsamlı seçenekleri içeren listeyi burada bulabilirsiniz.
Özel veya alternatif AST araçları:
-
OWASP Karşılaştırması standardını karşılayın
-
Uygulamanız için gereken tüm CWE'leri tarayacak şekilde yapılandırılmalıdır
-
Makine tarafından okunabilir biçimde başarılı/başarısız CWE çıkışı sağlayın (ör. XML, CSV) veya PDF biçimi
Gerekli CWE'lerin ve AST araç kombinasyonlarının tam karşılaştırmasını CASA Katman 2 eşleme şablonundabulabilirsiniz.
2. Katman doğrulama için uygun olmak, sonuçlar şöyle görünmelidir:
-
kötüye kullanım ihtimali yüksek olan, zayıf zayıflıklarla (CWE) ilişkili bulgu yok
-
Orta kötüye kullanım olasılığı olan CWE'lerle ilişkili bulgu yok (*yalnızca CASA yeniden doğrulaması için geçerlidir)
Bulguları düzeltmek amacıyla ASVS Yardımcı Programı Belgesi'nden OWASP kılavuzuna başvurabilir.