टियर 2 ऐप्लिकेशन की सुरक्षा जांच करने के लिए, सुझाए गए टूल की दो कैटगरी हैं. पहले से कॉन्फ़िगर किए गए और पसंद के मुताबिक बनाए गए टूल. पहले से कॉन्फ़िगर किए गए स्कैनिंग टूल, डाइनैमिक स्कैनिंग के लिए OWASP Zed Strike प्रॉक्सी (ZAP) और स्टैटिक स्कैनिंग के लिए फ़्लूइड अटैक* हैं. कॉन्फ़िगरेशन टूल, इन टूल के लिए बनाए गए हैं. इन्हें नीचे दिए गए पहले से कॉन्फ़िगर किए गए स्कैनिंग सेक्शन में देखा जा सकता है.
अगर आप पहले से ही अपने ऐप्लिकेशन को स्कैन कर रहे हैं , तो CWE के साथ काम करने वाले किसी भी प्लैटफ़ॉर्म के साथ पहले से कॉन्फ़िगर किए गए टूल का इस्तेमाल न करें. इस मामले में, आपको एक नीति अपलोड करनी होगी और यह जानकारी देनी होगी कि आप कौनसे CWE स्कैन कर रहे हैं. आगे के निर्देश नीचे पसंद के मुताबिक बनाए गए स्कैनिंग सेक्शन में देखे जा सकते हैं.
* नोट: पहले से कॉन्फ़िगर किया गया स्टैटिक स्कैनिंग टूल, TypeScript या JavaScript ऐप्लिकेशन के साथ काम नहीं करता. अगर आपका ऐप्लिकेशन TypeScript या JavaScript में प्रोग्राम किया गया है, तो कृपया कस्टम स्टैटिक स्कैनिंग टूल में से किसी एक का इस्तेमाल करें.
पहले से कॉन्फ़िगर किए गए स्कैन
| स्कैनिंग टूल | Web |
Mobile |
Local |
API |
Extension |
Serverless |
निर्देश |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
अपने ऐप्लिकेशन के लिए अपने-आप डाइनैमिक स्कैन (DAST) करने के लिए, OWASP ZAP का इस्तेमाल करें. पहले से तय कॉन्फ़िगरेशन फ़ाइलों में पहले से ही सभी ज़रूरी CWE शामिल हैं. आपको बस इसे अपने एनवायरमेंट और डॉकर कमांड में जोड़ना होगा. यहां से शुरू करें |
||||||
FluidAttacks Free & Open Source CLI |
अपने ऐप्लिकेशन के लिए अपने-आप स्टैटिक (एसएएसटी) स्कैन करने के लिए, Fluidअटैक ओपन सोर्स सीएलआई इस्तेमाल करें. सभी ज़रूरी CWE शामिल करने के लिए एक डॉकर इमेज बनाई गई है. बस कंटेनर को ऊपर की ओर घुमाएं और उसमें मौजूद स्कैन कमांड चलाएं. यहां से शुरू करें |
कस्टम DAST / SAST टूल
सीएएसए के मुताबिक स्कैन करने की ज़रूरी शर्तों को पूरा करने वाले किसी भी सीडब्ल्यूई के साथ काम करने वाले ऐप्लिकेशन को स्कैन करने वाले टूल का इस्तेमाल किया जा सकता है.नीचे हम CWE के साथ काम करने वाले टूल के तौर पर, कुछ व्यावसायिक और ओपन सोर्स विकल्पों की जानकारी देते हैं (ज़्यादा जानकारी नहीं)
यहां से शुरू करें