Cette page a été traduite par l'API Cloud Translation.

Niveau 2 : outils recommandés

Il existe deux catégories d'outils recommandés pour effectuer les tests de sécurité de l'application de niveau 2: les outils préconfigurés et les outils personnalisés. Les outils d'analyse préconfigurés sont OWASP Zed Attack Proxy (ZAP) pour l'analyse dynamique et Attaques fluides* pour l'analyse statique. Des fichiers de configuration ont été créés pour ces outils. Vous les trouverez dans la section d'analyse préconfigurée ci-dessous.

Vous n'avez pas besoin d'utiliser les outils préconfigurés si vous analysez déjà votre application avec une plate-forme compatible CWE. Dans ce cas, vous devez importer une règle spécifiant les CWE que vous analysez. Vous trouverez des instructions supplémentaires dans la section d'analyse personnalisée ci-dessous.

* REMARQUE: L'outil d'analyse statique préconfiguré n'est PAS compatible avec les applications TypeScript ou JavaScript. Veuillez utiliser l'un des outils d'analyse statique personnalisés si votre application est programmée en TypeScript ou JavaScript.

Analyses préconfigurées

Outil de numérisation	`Web`	`Mobile`	`Local`	`API`	`Extension`	`Serverless`	Instructions
`OWASP® Zed Attack Proxy (ZAP)`							Utilisez OWASP ZAP ; le conteneur Docker ZAP pour effectuer des analyses dynamiques automatisées (DAST) sur votre application. Les fichiers de configuration prédéfinis incluent déjà tous les CWE nécessaires. Il vous suffit de l'ajouter à votre environnement et à la commande d'exécution Docker. Commencez ici
`FluidAttacks Free & Open Source CLI`							Exploitez la CLI Open Source FluidAttacks pour effectuer des analyses statiques (SAST) automatiques sur votre application. Une image Docker a été créée pour inclure tous les CWE nécessaires. Il vous suffit de lancer le conteneur et d'exécuter la commande d'analyse qu'il contient. Commencez ici

Outils DAST / SAST personnalisés

Vous pouvez utiliser n'importe quel ou plusieurs outils d'analyse d'applications compatibles CWE répondant aux exigences de l'analyse personnalisée CASA.Vous trouverez ci-dessous une liste d'options commerciales et Open Source (non complètes) comme exemples d'outils compatibles avec CWE.

Commencez ici