دو دسته از ابزارهای توصیه شده برای انجام تستهای امنیتی برنامه سطح 2 شما وجود دارد: ابزارهای از پیش پیکربندی شده و ابزارهای سفارشی . ابزارهای اسکن از پیش پیکربندی شده OWASP Zed Attack Proxy (ZAP) برای اسکن پویا و Fluid Attacks* برای اسکن استاتیک هستند. فایلهای پیکربندی برای این ابزارها ایجاد شدهاند و میتوانید در بخش اسکن از پیش پیکربندی شده در زیر آن را بیابید.
اگر قبلاً برنامه خود را با هر پلتفرم سازگار با CWE اسکن می کنید، لازم نیست از ابزارهای از پیش پیکربندی شده استفاده کنید . در این مورد، باید یک خطمشی آپلود کنید که مشخص میکند کدام CWE را اسکن میکنید . دستورالعمل های بیشتر را می توان در بخش اسکن سفارشی در زیر یافت.
* توجه: ابزار اسکن استاتیک از پیش پیکربندی شده با برنامه های TypeScript یا JavaScript سازگار نیست. اگر برنامه شما با TypeScript یا JavaScript برنامه ریزی شده است، لطفاً از یکی از ابزارهای سفارشی اسکن استاتیک استفاده کنید.
اسکن های از پیش پیکربندی شده
| ابزار اسکن | Web | Mobile | Local | API | Extension | Serverless | دستورالعمل ها |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) | از OWASP ZAP استفاده کنید. ظرف داکر ZAP برای انجام اسکن های پویا خودکار (DAST) در برابر برنامه شما. فایل های پیکربندی از پیش تعریف شده در حال حاضر دارای تمام CWE های لازم هستند. تنها کاری که باید انجام دهید این است که آن را به محیط خود و دستور اجرای Docker اضافه کنید. از اینجا شروع کنید | ||||||
FluidAttacks Free & Open Source CLI | از CLI منبع باز FluidAttacks برای انجام اسکن های استاتیک خودکار (SAST) در برابر برنامه شما استفاده کنید. یک تصویر Docker ایجاد شده است که شامل تمام CWE های ضروری است. به سادگی ظرف را بچرخانید و دستور اسکن را در آن اجرا کنید. از اینجا شروع کنید |
ابزارهای سفارشی DAST / SAST
میتوانید از هر ابزار(های) اسکن برنامه سازگار با CWE که الزامات اسکن سفارشی CASA را برآورده میکند استفاده کنید. فهرستی از گزینه های تجاری و منبع باز (غیر جامع) در زیر به عنوان نمونه ابزارهای سازگار با CWE ارائه شده است