Tier 2 アプリケーションのセキュリティ テストの実施に推奨されるツールには、事前構成済みツールとカスタムツールの 2 つのカテゴリがあります。事前構成されたスキャンツールは、動的スキャン用の OWASP Zed Attack Proxy(ZAP)と、静的スキャン用の Fluid Attacks* です。これらのツール用に構成ファイルが作成されています。構成ファイルは、後述の構成済みスキャン セクションで確認できます。
CWE 互換のプラットフォームですでにアプリケーションをスキャンしている場合は、事前構成済みのツールを使用する必要はありません。この場合は、スキャンする CWE を指定するポリシーをアップロードする必要があります。詳しい手順については、以下のカスタム スキャンのセクションをご覧ください。
* 注: 事前構成済みの静的スキャンツールは、TypeScript や JavaScript のアプリケーションに対応していません。アプリケーションが TypeScript または JavaScript でプログラムされている場合は、カスタムの静的スキャンツールのいずれかを使用してください。
事前構成済みスキャン
| スキャンツール | Web |
Mobile |
Local |
API |
Extension |
Serverless |
手順 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
OWASP ZAP の ZAP Docker コンテナを使用して、アプリケーションに対して自動動的スキャン(DAST)を実行します。事前定義された構成ファイルには、必要な CWE がすべて含まれています。必要な作業は、これを環境に追加して Docker 実行コマンドを実行することだけです。ここから始める |
||||||
FluidAttacks Free & Open Source CLI |
FluidAttacks オープンソース CLI を利用して、アプリケーションに対して自動静的(SAST)スキャンを実行します。必要なすべての CWE を含む Docker イメージが作成されました。コンテナを起動して、その中で scan コマンドを実行するだけです。 ここから開始 |
カスタム DAST / SAST ツール
CASA カスタム スキャン要件を満たす任意の CWE 対応アプリスキャン ツールを使用できます。CWE 互換ツールの例として、商用およびオープンソース オプションのリスト(すべてを網羅しているわけではありません)を以下に示します。
まずはこちらをご覧ください