掃描您的應用程式

掃描選項

使用 CASA 推薦的工具

提供預先建立的設定檔和 Docker 映像檔，以便快速執行獲得核准的掃描作業和輸出內容。強烈建議您使用這個選項，即可大幅降低因不符規定而傳回 CASA 提交內容的可能性。

只要根據應用程式所需的掃描作業，按照 CASA AST 指南操作即可。 

如要符合第 2 級驗證的資格，結果必須符合下列條件：

• 找不到與常見弱點列舉 (CWE) 有關聯，且可能遭「高」漏洞利用的發現項目

• 沒有與 CWE 相關聯且可能遭受中利用機率的發現項目 (*僅適用於 CASA 重新驗證)

您可以參考 ASVS 速查表中的 OWASP 指南，修正檢測結果。

使用自訂或替代 AST 工具

只要工具符合下列 CASA AST 測試和結果規定，第三方開發人員即可使用任何與 CWE 相容的應用程式掃描工具。如需選項清單 (非完整清單)，請參閱這裡。 

自訂或替代 AST 工具必須：

• 符合 OWASP 基準標準

• 設定為掃描應用程式所需的所有 CWE

• 以機器可讀的格式 (例如 XML、CSV) 或 PDF 格式

如要查看必要 CWE 和 AST 工具組合的完整對應表，請參閱 CASA 第 2 級對應範本。

如要符合第 2 級驗證資格，結果必須顯示：

• 沒有與常見弱點列舉 (CWEs) 相關的發現項目，且這些項目遭到利用的可能性高

• 沒有與 CWE 相關的發現項目，且遭到利用的可能性為中等 (*僅適用於 CASA 重新驗證)

您可以參考 ASVS 速查表中的 OWASP 指南，修正所發現的問題。