Existen dos categorías de herramientas recomendadas para realizar las pruebas de seguridad de la aplicación de nivel 2: preconfiguradas y personalizadas. Las herramientas de escaneo preconfiguradas son Zed Attack Proxy (ZAP) de OWASP para el escaneo dinámico y Fluid Attacks* para el escaneo estático. Se crearon archivos de configuración para estas herramientas, que se pueden encontrar en la sección de análisis preconfigurado que aparece a continuación.
No tienes que usar las herramientas preconfiguradas si ya estás analizando tu aplicación con cualquier plataforma compatible con CWE. En este caso, deberás subir una política que especifique las CWE que analizas. Puedes encontrar más instrucciones en la sección de escaneo personalizado que aparece a continuación.
* NOTA: La herramienta de análisis estático preconfigurada NO es compatible con aplicaciones de TypeScript o JavaScript. Usa una de las herramientas de análisis estáticas personalizadas si tu aplicación está programada en TypeScript o JavaScript.
Escaneos preconfigurados
| Herramienta de escaneo | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Instrucciones |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Usa el OWASP ZAP ; el contenedor de Docker de ZAP para realizar análisis dinámicos automatizados (DAST) en tu aplicación. Los archivos de configuración predefinidos ya incluyen todos los CWE necesarios. Solo debes agregarlo a tu entorno y al comando de ejecución de Docker. Comienza aquí |
||||||
FluidAttacks Free & Open Source CLI |
Aprovecha la CLI de código abierto de FluidAttacks para realizar análisis estáticos automatizados (SAST) en tu aplicación. Se creó una imagen de Docker para incluir todos los CWE necesarios. Simplemente inicia el contenedor y ejecuta el comando de análisis en él. Comienza aquí |
Herramientas DAST / SAST personalizadas
Puedes usar cualquier herramienta de análisis de apps compatible con CWE que cumpla con los requisitos de análisis personalizados de CASA. A continuación, se proporciona una lista de opciones comerciales y de código abierto (no exhaustiva) como ejemplo de herramientas compatibles con CWE.
Comienza aquí