هناك فئتان من الأدوات المقترحة لتنفيذ اختبارات أمان تطبيقات المستوى 2: الضبط المسبق والأدوات المخصّصة. أدوات الفحص التي تم ضبطها مسبقًا هي OWASP Zed Attack Proxy (ZAP) للفحص الديناميكي، وFleaks Attacks* للفحص الثابت. تم إنشاء ملفات إعداد لهذه الأدوات ويمكن العثور عليها في قسم الفحص الذي تم إعداده مسبقًا أدناه.
لن تحتاج إلى استخدام الأدوات المعدة مسبقًا إذا كنت تفحص تطبيقك مسبقًا باستخدام أي نظام أساسي متوافق من CWE. في هذه الحالة، ستحتاج إلى تحميل سياسة تحدد CWEs التي تفحصها. ويمكن العثور على مزيد من الإرشادات في قسم المسح المخصص أدناه.
* ملاحظة: أداة الفحص الثابت المهيأة مسبقًا غير متوافقة مع تطبيقات TypeScript أو JavaScript. يُرجى استخدام إحدى أدوات الفحص الثابت المخصّصة إذا تمت برمجة تطبيقك باستخدام TypeScript أو JavaScript.
عمليات الفحص التي تمت تهيئتها مسبقًا
| أداة المسح الضوئي | Web |
Mobile |
Local |
API |
Extension |
Serverless |
التعليمات |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
استخدِم OWASP ZAP ; حاوية ZAP Docker لإجراء عمليات فحص ديناميكية تلقائية (DAST) لتطبيقك. تحتوي ملفات الضبط المُحدَّدة مُسبقًا على جميع CWEs اللازمة. ما عليك سوى إضافته إلى بيئتك وأمر تشغيل Docker. البدء من هنا |
||||||
FluidAttacks Free & Open Source CLI |
يمكنك الاستفادة من FluidAttacks سطر سطر الأوامر (CLI) مفتوح المصدر لإجراء عمليات فحص ثابتة (SAST) تلقائية للتطبيق. تم إنشاء صورة Docker لتضمين جميع CWEs اللازمة. ما عليك سوى تدوير الحاوية وتشغيل أمر الفحص بداخلها. البدء من هنا |
أدوات DAST / SAST المخصصة
يمكنك استخدام أي من أدوات فحص التطبيقات المتوافقة مع CWE التي تستوفي متطلبات الفحص المُخصَّص لـ CASA.في ما يلي قائمة بالخيارات التجارية والمفتوحة المصدر (غير الشاملة) كأمثلة على الأدوات المتوافقة مع CWE
البدء من هنا