Tuỳ chọn quét
Sử dụng các công cụ được đề xuất của CASA
Các tệp cấu hình tạo sẵn và hình ảnh Docker được cung cấp để nhanh chóng thực hiện các quá trình quét và kết quả đầu ra đã được phê duyệt. Bạn nên sử dụng tuỳ chọn này vì nó giúp giảm đáng kể khả năng tệp gửi qua CASA bị trả về do không tuân thủ.
Bạn chỉ cần làm theo hướng dẫn của CASA về AST dựa trên những quy trình quét bắt buộc đối với ứng dụng của bạn.
Để đủ điều kiện xác minh ở Cấp 2, kết quả phải cho thấy:
-
Không có phát hiện nào liên quan đến việc liệt kê các điểm yếu phổ biến (CWEs) có khả năng bị khai thác cao
-
Không có phát hiện nào liên kết đến CWE có khả năng bị khai thác ở mức trung bình (*chỉ áp dụng cho việc xác thực lại CMake)
Bạn có thể tham khảo hướng dẫn của OWASP trong Bảng tổng quan về ASVS để khắc phục các vấn đề phát hiện được.
Sử dụng các công cụ AST tuỳ chỉnh hoặc thay thế
Nhà phát triển bên thứ ba được phép sử dụng bất kỳ công cụ quét ứng dụng nào tương thích với CWE, miễn là công cụ đó đáp ứng các yêu cầu về AST CASA để kiểm thử và kết quả bên dưới. Danh sách các tuỳ chọn (không đầy đủ) được cung cấp tại đây.
Công cụ AST tuỳ chỉnh hoặc thay thế phải:
-
Đáp ứng tiêu chuẩn Điểm chuẩn OWASP
-
Được định cấu hình để quét tất cả CWE cần thiết cho ứng dụng
-
Cung cấp dữ liệu đầu ra CWE đạt/không đạt ở dạng thông tin mà máy có thể đọc được (ví dụ: XML, CSV) hoặc định dạng PDF
Bạn có thể tìm thấy bản đồ đầy đủ về các CWE bắt buộc và tổ hợp công cụ AST trong mẫu ánh xạ của CASA cấp 2.
Để đủ điều kiện xác minh Cấp 2, kết quả phải hiển thị:
-
không phát hiện nào liên quan đến các điểm liệt kê phổ biến (CWE) có khả năng bị khai thác cao
-
không có phát hiện nào liên quan đến CWE có khả năng bị khai thác ở mức trung bình (*chỉ áp dụng cho việc xác thực lại CAS)
Bạn có thể tham khảo hướng dẫn của OWASP trong Bảng tổng quan về ASVS để khắc phục các vấn đề phát hiện được.