Tuỳ chọn quét
Sử dụng các công cụ được đề xuất cho CASA
Các tệp cấu hình được tạo sẵn và hình ảnh Docker được cung cấp để nhanh chóng thực hiện các bản quét và đầu ra đã được phê duyệt. Bạn nên sử dụng tuỳ chọn này và giảm đáng kể khả năng một yêu cầu gửi CASA bị trả về do không phù hợp.
Bạn chỉ cần làm theo hướng dẫn của CASA AST dựa trên những yêu cầu cần thiết để quét ứng dụng.
Để đủ điều kiện xác minh theo Cấp 2, kết quả phải hiển thị:
-
Không phát hiện điều gì liên quan đến việc liệt kê các điểm yếu thường gặp (CWE) với khả năng khai thác cao
-
Không có phát hiện nào liên quan đến CWE có khả năng khai thác trung bình (*chỉ áp dụng cho xác thực lại CASA)
Bạn có thể tham khảo hướng dẫn về OWASP từ Bản tóm tắt về ASVS để tìm ra cách khắc phục.
Sử dụng các công cụ AST tuỳ chỉnh hoặc thay thế
Nhà phát triển bên thứ ba được phép sử dụng bất kỳ công cụ quét ứng dụng nào tương thích với CWE, miễn là (các) công cụ đó đáp ứng các yêu cầu của CASA AST để kiểm tra và kết quả dưới đây. Bạn có thể xem danh sách các lựa chọn (không đầy đủ) tại đây.
Các công cụ AST tuỳ chỉnh hoặc thay thế phải:
-
Đáp ứng tiêu chuẩn về Điểm chuẩn OWASP
-
Định cấu hình để quét mọi CWE cần thiết cho ứng dụng
-
Cung cấp đầu ra CWE đạt/không đạt trong máy đọc được (ví dụ: XML, CSV) hoặc PDF
Bạn có thể tìm thấy liên kết đầy đủ các kết hợp công cụ CWE và AST bắt buộc trong mẫu ánh xạcủa CASA Tier 2.
Để đủ điều kiện xác minh theo Cấp 2, kết quả phải hiển thị:
-
không phát hiện thấy mối liên hệ nào với bảng liệt kê điểm yếu chung (CWE) với khả năng khai thác cao
-
không phát hiện thấy dữ liệu liên kết nào với CWE có khả năng khai thác trung bình (*chỉ áp dụng cho tính năng xác thực lại CASA)
Bạn có thể tham khảo hướng dẫn về OWASP từ Bản tóm tắt về ASVS để phát hiện các biện pháp khắc phục.