टीयर 2 ऐप्लिकेशन की सुरक्षा जांच करने के लिए, सुझाए गए टूल की दो कैटगरी होती हैं: पहले से कॉन्फ़िगर किए गए और पसंद के मुताबिक टूल. पहले से कॉन्फ़िगर किए गए स्कैनिंग टूल में, डाइनैमिक स्कैनिंग के लिए OWASP Zed Attack Proxy (ZAP) और स्टैटिक स्कैनिंग के लिए Fluid Attacks* शामिल हैं. इन टूल के लिए कॉन्फ़िगरेशन फ़ाइलें बनाई गई हैं. इन्हें, पहले से कॉन्फ़िगर की गई स्कैनिंग सेक्शन में देखा जा सकता है.
अगर आपने पहले से ही CWE के साथ काम करने वाले किसी प्लैटफ़ॉर्म का इस्तेमाल करके, अपने ऐप्लिकेशन को स्कैन किया जा रहा है, तो आपको पहले से कॉन्फ़िगर किए गए टूल इस्तेमाल करने की ज़रूरत नहीं है . इस मामले में, आपको एक नीति अपलोड करनी होगी, जिसमें यह बताया गया हो कि किन CWE को स्कैन किया जा रहा है. ज़्यादा निर्देशों के लिए, नीचे दिए गए कस्टम स्कैनिंग सेक्शन पर जाएं.
* ध्यान दें: पहले से कॉन्फ़िगर किया गया स्टैटिक स्कैनिंग टूल, TypeScript या JavaScript ऐप्लिकेशन के साथ काम नहीं करता. अगर आपके ऐप्लिकेशन को TypeScript या JavaScript में प्रोग्राम किया गया है, तो कृपया कस्टम स्टैटिक स्कैनिंग टूल में से किसी एक का इस्तेमाल करें.
पहले से कॉन्फ़िगर किए गए स्कैन
| स्कैनिंग टूल | Web |
Mobile |
Local |
API |
Extension |
Serverless |
निर्देश |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
अपने ऐप्लिकेशन के लिए, ऑटोमेटेड डाइनैमिक स्कैन (DAST) करने के लिए, OWASP ZAP का इस्तेमाल करें; ZAP Docker कंटेनर का इस्तेमाल करें. पहले से तय कॉन्फ़िगरेशन फ़ाइलों में, पहले से ही सभी ज़रूरी CWE शामिल होते हैं. आपको बस इसे अपने एनवायरमेंट और Docker run कमांड में जोड़ना होगा. यहां से शुरू करें |
||||||
FluidAttacks Free & Open Source CLI |
अपने ऐप्लिकेशन के लिए अपने-आप स्टैटिक (एसएएसटी) स्कैन करने के लिए, Fluid रणनीतियों के ओपन सोर्स सीएलआई का इस्तेमाल करें. सभी ज़रूरी CWE को शामिल करने के लिए, एक Docker इमेज बनाई गई है. बस कंटेनर को घुमाएं और उसमें स्कैन करने का निर्देश चलाएं. यहां से शुरू करें |
कस्टम डीएएसटी / एसएएसटी टूल
CWE के साथ काम करने वाले ऐसे किसी भी ऐप्लिकेशन स्कैनिंग टूल का इस्तेमाल किया जा सकता है जो CASA की पसंद के मुताबिक स्कैन करने की ज़रूरी शर्तें पूरी करता हो.यहां कमर्शियल और ओपन सोर्स विकल्पों की सूची दी गई है. हालांकि, इसमें पूरी जानकारी नहीं दी गई है. उदाहरण के लिए, CWE के साथ काम करने वाले टूल के उदाहरण यहां दिए गए हैं