Hay dos categorías recomendadas de herramientas para realizar pruebas de seguridad para aplicaciones de nivel 2: preconfiguradas y herramientas personalizadas. Las herramientas de análisis preconfiguradas son OWASP Zed Attack Proxy (ZAP) para análisis dinámico y Fluid Atacks* para análisis estático. Los archivos de configuración se crearon para estas herramientas y se pueden encontrar en la sección de análisis preconfigurada a continuación.
No es necesario que uses las herramientas preconfiguradas si ya estás analizando tu aplicación con cualquier plataforma compatible con CWE. En este caso, deberás subir una política que especifique las CWE que estás analizando. Puedes encontrar más instrucciones en la sección de escaneo personalizado que aparece a continuación.
* NOTA: La herramienta de análisis estático preconfigurada NO es compatible con las aplicaciones de TypeScript o JavaScript. Usa una de las herramientas de análisis estático personalizadas si tu aplicación está programada en TypeScript o JavaScript.
Análisis preconfigurados
| Herramienta de escaneo | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Instrucciones |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Usa OWASP ZAP , el contenedor de Docker de ZAP, para realizar análisis dinámicos automatizados (DAST) en tu aplicación. Los archivos de configuración predefinidos ya tienen todos los CWE necesarios. Todo lo que necesitas hacer es agregarlo a tu entorno y al comando de ejecución de Docker. Comienza aquí |
||||||
FluidAttacks Free & Open Source CLI |
Aprovecha FluidAttacks CLI de código abierto para realizar análisis estáticos estáticos (SAST) en tu aplicación. Se creó una imagen de Docker para incluir todas las CWE necesarias. Simplemente inicia el contenedor y ejecuta el comando de análisis dentro de este. Comienza aquí |
Herramientas personalizadas para DAST y SAST
Puedes usar cualquier herramienta de análisis de apps compatible con CWE que cumpla con los requisitos de análisis personalizado de CASA.A continuación, se proporciona una lista de opciones comerciales y de código abierto (no exhaustivas) como herramientas compatibles de CWE de ejemplo.