هناك فئتان من الأدوات المقترَحة لإجراء اختبارات أمان التطبيقات في المستوى 2: الأدوات المُعدّة مسبقًا والأدوات المخصّصة. أدوات الفحص التي تم ضبطها مسبقًا هي OWASP Zed Attack Proxy (ZAP) للفحص الديناميكي، وFluid Attacks* للفحص static . تم إنشاء ملفات الإعدادات لهذه الأدوات ويمكن العثور عليها في قسم "الفحص المُعدّ مسبقًا" أدناه.

ليس عليك استخدام الأدوات التي تم ضبطها مسبقًا إذا كنت قيد استخدام أحد المنصات المتوافقة مع CWE لفحص تطبيقك . في هذه الحالة، عليك تحميل سياسة تحدّد أنظمة CWEs التي تفحصها. يمكنك الاطّلاع على مزيد من التعليمات في قسم "الفحص المخصّص" أدناه.

* ملاحظة: لا تتوافق أداة الفحص الثابت المُعدّة مسبقًا مع تطبيقات TypeScript أو JavaScript. يُرجى استخدام إحدى أدوات الفحص الثابتة المخصّصة إذا كان تطبيقك مبرمَجًا باستخدام TypeScript أو JavaScript.

عمليات البحث المُعدّة مسبقًا

أداة فحص	Web	Mobile	Local	API	Extension	Serverless	التعليمات
OWASP® Zed Attack Proxy (ZAP)							استخدِم OWASP ZAP ، حاوية ZAP Docker لإجراء عمليات فحص ديناميكية مبرمَجة (DAST) على تطبيقك.  تتضمّن ملفات الإعداد المحدّدة مسبقًا جميع نقاط ضعف CWE اللازمة. ما عليك سوى إضافته إلى بيئتك وإلى أمر تشغيل Docker. البدء من هنا
FluidAttacks Free & Open Source CLI							يمكنك الاستفادة من واجهة برمجة التطبيقات المفتوحة المصدر FluidAttacks من أجل إجراء عمليات فحص آلي للتطبيقات الثابتة (SAST) ضد تطبيقك. تم إنشاء صورة Docker لتضمين جميع تقييمات CWE اللازمة. ما عليك سوى تشغيل الحاوية وتنفيذ الأمر scan داخلها.  البدء من هنا

أدوات DAST / SAST المخصصة

يمكنك استخدام أي أدوات فحص تطبيقات متوافقة مع CWE تستوفي متطلبات الفحص المخصّص لبرنامج CASA. في ما يلي قائمة بالخيارات التجارية ومفتوحة المصدر (غير شاملة) كمثال على الأدوات المتوافقة مع CWE.

• Veracode

• LDRA

• Burp Suite

• هجمات Fluid على SAS

• السونار

• مستوى أمان مفرط 

• Fortify

• Acunetix

• Checkmarx

startالبدء من هنا