Tingkat 2 - Alat yang Direkomendasikan

Ada dua kategori alat yang direkomendasikan untuk menjalankan uji keamanan aplikasi Tingkat 2: telah dikonfigurasi sebelumnya dan alat kustom. Alat pemindaian yang telah dikonfigurasi sebelumnya adalah OWASP Zed Attack Proxy (ZAP) untuk pemindaian dinamis, dan Fluid Attacks* untuk pemindaian statis. File konfigurasi telah dibuat untuk alat ini dan dapat ditemukan di bagian pemindaian yang telah dikonfigurasi sebelumnya di bawah.

Anda tidak perlu menggunakan alat yang telah dikonfigurasi sebelumnya jika sudah memindai aplikasi dengan platform yang kompatibel dengan CWE. Dalam hal ini, Anda harus mengupload kebijakan yang menentukan CWE mana yang Anda pindai. Petunjuk lebih lanjut dapat ditemukan di bagian pemindaian kustom di bawah.


* CATATAN: Alat pemindaian statis yang telah dikonfigurasi sebelumnya TIDAK kompatibel dengan aplikasi TypeScript atau JavaScript. Gunakan salah satu alat pemindaian statis kustom jika aplikasi Anda diprogram dalam TypeScript atau JavaScript.

Pemindaian yang Dikonfigurasi Sebelumnya

Alat Pemindaian Web Mobile Local API Extension Serverless Petunjuk
OWASP® Zed Attack Proxy (ZAP)

Gunakan OWASP ZAP ; container Docker ZAP untuk melakukan pemindaian dinamis otomatis (DAST) terhadap aplikasi Anda.  File konfigurasi bawaan sudah menyertakan semua CWE yang diperlukan. Anda hanya perlu menambahkannya ke lingkungan dan perintah Docker run. Mulai di Sini

FluidAttacks Free & Open Source CLI

Manfaatkan CLI open source FluidAttacks untuk melakukan pemindaian statis otomatis (SAST) terhadap aplikasi Anda. Image Docker telah dibuat untuk menyertakan semua CWE yang diperlukan. Cukup jalankan penampung dan jalankan perintah pemindaian di dalamnya. Mulai di Sini

Alat DAST/SAST Kustom

Anda dapat menggunakan semua alat pemindaian aplikasi yang kompatibel dengan CWE yang memenuhi persyaratan pemindaian kustom CASA.Daftar opsi komersial dan open source (tidak komprehensif) tersedia di bawah ini sebagai contoh alat yang kompatibel dengan CWE

Mulai Di Sini