Esistono due categorie di strumenti consigliati per eseguire i test di sicurezza delle applicazioni di livello 2: preconfigurati e strumenti personalizzati. Gli strumenti di scansione preconfigurati sono OWASP Zed Attack Proxy (ZAP) per la scansione dinamica e Fluid Attacks* per la scansione statica. Sono stati creati file di configurazione per questi strumenti e puoi trovarli nella sezione relativa alla scansione preconfigurata di seguito.
Non è necessario utilizzare gli strumenti preconfigurati se esegui già la scansione dell'applicazione con qualsiasi piattaforma compatibile con CWE. In questo caso, devi caricare un criterio per specificare quali CWE stai analizzando. Ulteriori istruzioni sono disponibili nella sezione Scansione personalizzata di seguito.
* NOTA: lo strumento di scansione statica preconfigurato NON è compatibile con le applicazioni TypeScript o JavaScript. Utilizza uno degli strumenti di scansione statica personalizzata se la tua applicazione è programmata in TypeScript o JavaScript.
Scansioni preconfigurate
| Strumento di scansione | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Istruzioni |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Utilizza il container OWASP ZAP ; ZAP Docker per eseguire scansioni dinamiche (DAST) automatiche sulla tua applicazione. I file di configurazione predefiniti hanno già tutti i CWE necessari. Tutto quello che devi fare è aggiungerlo al tuo ambiente e al comando Docker run. Inizia da qui |
||||||
FluidAttacks Free & Open Source CLI |
Sfrutta FluidAttacks l'interfaccia a riga di comando open source per eseguire scansioni statiche e statiche (SAST) rispetto alla tua applicazione. È stata creata un'immagine Docker per includere tutti i CWE necessari. È sufficiente avviare il container ed eseguire il comando di scansione al suo interno. Inizia da qui |
Strumenti DAST / SAST personalizzati
Puoi utilizzare qualsiasi strumento di scansione delle app compatibile con CWE che soddisfi i requisiti di scansione personalizzati di CASA.Di seguito è riportato un elenco di opzioni commerciali e open source (non complete) come esempi di strumenti compatibili con CWE