Es gibt zwei Kategorien empfohlener Tools für die Durchführung von Tier-2-Anwendungssicherheitstests: vorkonfigurierte und benutzerdefinierte Tools. Die vorkonfigurierten Scantools sind OWASP Zed Attack Proxy (ZAP) für das dynamische Scannen und Fluid Attacks* für das statische Scannen. Für diese Tools wurden Konfigurationsdateien erstellt, die Sie unten im Abschnitt „Vorkonfigurierte Scans“ finden.
Sie müssen die vorkonfigurierten Tools nicht verwenden, wenn Sie Ihre Anwendung bereits mit CWE-kompatiblen Plattformen scannen. In diesem Fall müssen Sie eine Richtlinie hochladen, in der angegeben ist, welche CWEs Sie scannen. Weitere Informationen finden Sie unten im Abschnitt zum benutzerdefinierten Scannen.
* HINWEIS: Das vorkonfigurierte Tool für das statische Scannen ist NICHT mit TypeScript- oder JavaScript-Anwendungen kompatibel. Verwenden Sie eines der benutzerdefinierten Tools für statische Scans, wenn Ihre Anwendung in TypeScript oder JavaScript programmiert ist.
Vorkonfigurierte Scans
| Scantool | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Anleitung |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Verwenden Sie den OWASP ZAP ; ZAP Docker-Container, um automatisierte dynamische Scans (DAST) für Ihre Anwendung auszuführen. Vordefinierte Konfigurationsdateien enthalten bereits alle erforderlichen CWEs. Sie müssen es lediglich Ihrer Umgebung und dem Docker-Befehl „run“ hinzufügen. Hier starten |
||||||
FluidAttacks Free & Open Source CLI |
Mit der Open-Source-Befehlszeile FluidAttacks können Sie automatisierte statische (SAST) Scans für Ihre Anwendung ausführen. Es wurde ein Docker-Image erstellt, das alle erforderlichen CWEs enthält. Starten Sie einfach den Container und führen Sie den Scanbefehl darin aus. Hier starten |
Benutzerdefinierte DAST-/SAST-Tools
Sie können beliebige CWE-kompatible App-Scan-Tools verwenden, die die Anforderungen an benutzerdefinierte CASA-Scans erfüllen. Unten finden Sie eine (nicht vollständige) Liste kommerzieller und Open-Source-Optionen als Beispiel für CWE-kompatible Tools.