আপনার টিয়ার 2 অ্যাপ্লিকেশন নিরাপত্তা পরীক্ষা সম্পাদনের জন্য প্রস্তাবিত সরঞ্জামগুলির দুটি বিভাগ রয়েছে: পূর্ব-কনফিগার করা এবং কাস্টম সরঞ্জাম । প্রি-কনফিগার করা স্ক্যানিং টুল হল ডাইনামিক স্ক্যানিংয়ের জন্য OWASP জেড অ্যাটাক প্রক্সি (ZAP), এবং স্ট্যাটিক স্ক্যানিংয়ের জন্য ফ্লুইড অ্যাটাক*। এই টুলগুলির জন্য কনফিগারেশন ফাইল তৈরি করা হয়েছে এবং নীচের পূর্ব-কনফিগার করা স্ক্যানিং বিভাগে পাওয়া যাবে।
আপনি যদি ইতিমধ্যেই কোনও CWE সামঞ্জস্যপূর্ণ প্ল্যাটফর্মের সাথে আপনার অ্যাপ্লিকেশনটি স্ক্যান করছেন তবে আপনাকে পূর্ব-কনফিগার করা সরঞ্জামগুলি ব্যবহার করতে হবে না । এই ক্ষেত্রে, আপনি কোন CWE স্ক্যান করছেন তা উল্লেখ করে আপনাকে একটি নীতি আপলোড করতে হবে। আরও নির্দেশাবলী নীচের কাস্টম স্ক্যানিং বিভাগে পাওয়া যাবে।
* দ্রষ্টব্য: পূর্ব-কনফিগার করা স্ট্যাটিক স্ক্যানিং টুলটি টাইপস্ক্রিপ্ট বা জাভাস্ক্রিপ্ট অ্যাপ্লিকেশনগুলির সাথে সামঞ্জস্যপূর্ণ নয়৷ আপনার অ্যাপ্লিকেশন টাইপস্ক্রিপ্ট বা জাভাস্ক্রিপ্টে প্রোগ্রাম করা থাকলে অনুগ্রহ করে একটি কাস্টম স্ট্যাটিক স্ক্যানিং টুল ব্যবহার করুন।
প্রাক-কনফিগার করা স্ক্যান
| স্ক্যানিং টুল | Web | Mobile | Local | API | Extension | Serverless | নির্দেশনা |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) | OWASP ZAP ব্যবহার করুন; আপনার অ্যাপ্লিকেশনের বিরুদ্ধে স্বয়ংক্রিয় গতিশীল স্ক্যান (DAST) সঞ্চালনের জন্য ZAP ডকার কন্টেইনার। পূর্বনির্ধারিত কনফিগারেশন ফাইলগুলিতে ইতিমধ্যেই সমস্ত প্রয়োজনীয় CWE অন্তর্ভুক্ত রয়েছে। আপনাকে যা করতে হবে তা হল আপনার পরিবেশ এবং ডকার রান কমান্ডে এটি যোগ করুন। এখান থেকে শুরু কর | ||||||
FluidAttacks Free & Open Source CLI | লিভারেজ FluidAttacks ওপেন সোর্স CLI আপনার অ্যাপ্লিকেশনের বিরুদ্ধে স্বয়ংক্রিয় স্ট্যাটিক (SAST) স্ক্যান করতে। সমস্ত প্রয়োজনীয় CWE অন্তর্ভুক্ত করার জন্য একটি ডকার ইমেজ তৈরি করা হয়েছে। কেবল ধারকটি স্পিন করুন এবং এর মধ্যে স্ক্যান কমান্ডটি চালান। এখান থেকে শুরু কর |
কাস্টম DAST/SAST টুল
আপনি যেকোন CWE- সামঞ্জস্যপূর্ণ অ্যাপ স্ক্যানিং টুল(গুলি) ব্যবহার করতে পারেন যা CASA কাস্টম স্ক্যানের প্রয়োজনীয়তা পূরণ করে। বাণিজ্যিক এবং ওপেন সোর্স বিকল্পগুলির একটি তালিকা (বিস্তৃত নয়) CWE সামঞ্জস্যপূর্ণ সরঞ্জামগুলির উদাহরণ হিসাবে নীচে সরবরাহ করা হয়েছে
এখানে