Tier 2 アプリケーションのセキュリティ テストを実行するために推奨されるツールには、事前構成済みとカスタムツールの 2 つのカテゴリがあります。事前構成済みのスキャンツールは、動的スキャン用の OWASP Zed Attack Proxy(ZAP)と静的スキャン用の Fluid Attacks* です。これらのツール用の構成ファイルは、以下の事前構成済みのスキャン セクションで作成されています。
CWE 互換のプラットフォームでアプリケーションをすでにスキャンしている場合 は、事前構成済みのツールを使用する必要はありません。この場合は、スキャンする CWE を指定するポリシーをアップロードする必要があります。詳しい手順については、下記のカスタム スキャンのセクションをご覧ください。
* 注: 事前構成された静的スキャンツールは、TypeScript または JavaScript アプリケーションには対応していません。アプリケーションが TypeScript または JavaScript でプログラムされている場合は、いずれかのカスタム静的スキャンツールを使用してください。
事前構成されたスキャン
| スキャンツール | Web |
Mobile |
Local |
API |
Extension |
Serverless |
手順 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
OWASP ZAP : ZAP Docker コンテナを使用して、アプリケーションに対して自動動的スキャン(DAST)を実行します。事前定義の構成ファイルには、必要な CWE がすべて含まれています。必要な処理は、環境と Docker 実行コマンドに追加することだけです。ここから開始 |
||||||
FluidAttacks Free & Open Source CLI |
FluidAttacks オープンソース CLI を利用して、アプリケーションに対して自動静的(SAST)スキャンを実行できます。必要なすべての CWE を含む Docker イメージが作成されています。コンテナをスピンアップして、その中でスキャン コマンドを実行するだけで済みます。ここから開始 |
カスタム DAST / SAST ツール
CASA カスタム スキャン要件を満たした CWE 対応アプリスキャン ツールを使用できます。CWE 対応ツールの例として、商用オプションとオープンソース オプションのリスト(包括的ではないもの)を以下に示します。
ここから開始