Esistono due categorie di strumenti consigliati per eseguire i test di sicurezza delle applicazioni di Livello 2: preconfigurati e personalizzati. Gli strumenti di scansione preconfigurati sono OWASP Zed Attack Proxy (ZAP) per la scansione dinamica e Fluid Attacks* per la scansione statica. Per questi strumenti sono stati creati file di configurazione che puoi trovare nella sezione di scansione preconfigurata di seguito.
Non è necessario utilizzare gli strumenti preconfigurati se stai già eseguendo la scansione dell'applicazione con piattaforme compatibili con CWE. In questo caso, dovrai caricare un criterio che specifichi i CWE che stai analizzando. Ulteriori istruzioni sono disponibili nella sezione relativa alla scansione personalizzata di seguito.
* NOTA: lo strumento di scansione statica preconfigurato NON è compatibile con le applicazioni TypeScript o JavaScript. Utilizza uno degli strumenti di scansione statica personalizzata se la tua applicazione è programmata in TypeScript o JavaScript.
Scansioni preconfigurate
| Strumento di scansione | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Istruzioni |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Utilizza il OWASP ZAP ; il contenitore Docker ZAP per eseguire scansioni dinamiche automatiche (DAST) sulla tua applicazione. I file di configurazione predefiniti includono già tutti i CWE necessari. Basta aggiungerlo al tuo ambiente e usare il comando run di Docker. Inizia da qui |
||||||
FluidAttacks Free & Open Source CLI |
Sfrutta la CLI open source FluidAttacks per eseguire scansioni statiche automatiche (SAST) della tua applicazione. È stata creata un'immagine Docker per includere tutti gli elementi CWE necessari. Basta avviare il contenitore ed eseguire il comando di scansione al suo interno. Inizia da qui |
Strumenti DAST/SAST personalizzati
Puoi utilizzare qualsiasi strumento di scansione delle app compatibile con CWE che soddisfi i requisiti di scansione personalizzata CASA. Di seguito è riportato un elenco di opzioni commerciali e open source (non esaustivo) come esempio di strumenti compatibili con CWE
Inizia da qui