扫描您的应用

扫描选项

使用 CASA 推荐工具

提供预构建的配置文件和 Docker 映像，以快速执行已批准的扫描和输出。我们强烈建议您使用此选项，并大大降低因不符合要求而返回 CASA 的可能性。

您只需根据应用的扫描要求，遵循 CASA AST 指南。 

如需获得进行 2 级验证的资格，结果必须显示：

• 没有与常见漏洞枚举 (CWE) 相关联的发现结果，而该漏洞的可能性非常高

• 没有与中级遭到攻击的 CWE 相关联的发现结果（*仅适用于 CASA 重新验证）

您可以参考 ASVS 备忘单中的 OWASP 指南来获得发现结果。

使用自定义或替代 AST 工具

第三方开发者可以使用任何符合 CWE 要求的应用扫描工具，但前提是这些工具满足 CASA AST 的测试和结果要求。此处提供了一系列选项（不详尽）。 

自定义 AST 工具或替代 AST 工具必须：

• 符合 OWASP 基准标准

• 配置为扫描应用所需的所有 CWE

• 在机器可读文件（例如XML、CSV）或 PDF 格式

您可以在 CASA 第 2 层级映射模板中找到所需 CWE 和 AST 工具组合的完整映射。

如需获得进行 2 级验证的条件，必须满足以下条件：

• 没有与常见漏洞枚举 (CWE) 相关联的发现结果，而相应漏洞很可能有遭利用的可能性

• 没有与中级遭到攻击的 CWE 相关联的发现结果（*仅适用于 CASA 重新验证）

您可以参考 ASVS 备忘单中的 OWASP 指南来获得发现结果。