Deux catégories d'outils recommandés pour effectuer vos tests de sécurité des applications de niveau 2 sont les suivants: les outils préconfigurés et les outils personnalisés. Les outils d'analyse préconfigurés sont OWASP Zed Attack Proxy (ZAP) pour l'analyse dynamique et Fluid Attacks* pour l'analyse statique. Des fichiers de configuration ont été créés pour ces outils et sont disponibles dans la section d'analyse préconfigurée ci-dessous.
Vous n'avez pas besoin d'utiliser les outils préconfigurés si vous analysez déjà votre application avec des plates-formes compatibles avec les CWE. Dans ce cas, vous devez importer une règle spécifiant les failles de code que vous analysez. Pour en savoir plus, consultez la section "Analyse personnalisée" ci-dessous.
* REMARQUE : L'outil d'analyse statique préconfiguré n'est PAS compatible avec les applications TypeScript ou JavaScript. Veuillez utiliser l'un des outils d'analyse statique personnalisés si votre application est programmée avec TypeScript ou JavaScript.
Analyses préconfigurées
| Outil d'analyse | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Instructions |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Utilisez le conteneur Docker OWASP ZAP pour effectuer des analyses dynamiques automatisées (DAST) sur votre application. Les fichiers de configuration prédéfinis contiennent déjà tous les CWE nécessaires. Il vous suffit de l'ajouter à votre environnement et à la commande d'exécution Docker. Commencez ici |
||||||
FluidAttacks Free & Open Source CLI |
Exploitez la CLI Open Source FluidAttacks pour effectuer des analyses statiques automatisées (SAST) sur votre application. Une image Docker a été créée pour inclure tous les CWE nécessaires. Il vous suffit de démarrer le conteneur et d'exécuter la commande d'analyse dans celui-ci. Commencer |
Outils DAST/SAST personnalisés
Vous pouvez utiliser n'importe quel outil d'analyse d'applications compatible avec les CWE qui répond aux exigences d'analyse personnalisée de CASA. Vous trouverez ci-dessous une liste d'options commerciales et Open Source (non exhaustive) à titre d'exemples d'outils compatibles avec les CWE.
Commencer ici