Es gibt zwei Kategorien von empfohlenen Tools für die Durchführung von Anwendungssicherheitstests der Stufe 2: vorkonfigurierte und benutzerdefinierte Tools. Die vorkonfigurierten Scantools sind OWASP Zed Attack Proxy (ZAP) für das dynamische Scannen und Fluid-Angriffe* für statische Scans. Für diese Tools wurden Konfigurationsdateien erstellt, die Sie unten im Abschnitt zum vorkonfigurierten Scan finden.
Sie brauchen die vorkonfigurierten Tools nicht zu verwenden, wenn Sie Ihre Anwendung bereits mit CWE-kompatiblen Plattformen scannen. In diesem Fall müssen Sie eine Richtlinie hochladen, die angibt, welche CWEs Sie scannen. Weitere Informationen finden Sie unten im Abschnitt zum benutzerdefinierten Scannen.
* HINWEIS: Das vorkonfigurierte statische Scantool ist NICHT mit TypeScript- oder JavaScript-Anwendungen kompatibel. Verwenden Sie eines der benutzerdefinierten statischen Scantools, wenn Ihre Anwendung in TypeScript oder JavaScript programmiert ist.
Vorkonfigurierte Scans
Scan-Tool | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Anleitung |
---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Mit dem OWASP-ZAP ; ZAP-Docker-Container können Sie automatisierte dynamische Scans (DAST) für Ihre Anwendung ausführen. Vordefinierte Konfigurationsdateien enthalten bereits alle erforderlichen CWEs. Dazu müssen Sie es nur Ihrer Umgebung und dem Docker-Ausführungsbefehl hinzufügen. Jetzt starten |
||||||
FluidAttacks Free & Open Source CLI |
Nutzen Sie FluidAttacks Open-Source-CLI, um automatisierte statische (SAST) Scans für Ihre Anwendung durchzuführen. Es wurde ein Docker-Image erstellt, das alle erforderlichen CWEs enthält. Starten Sie einfach den Container und führen Sie den Scanbefehl darin aus. Hier starten |
Benutzerdefinierte DAST-/SAST-Tools
Sie können alle CWE-kompatiblen App-Scantools verwenden, die den CASA-Anforderungen für benutzerdefinierte Scans entsprechen.Eine Liste der kommerziellen und Open-Source-Optionen (nicht vollständig) finden Sie unten als Beispiele für CWE-kompatible Tools
Hier starten