Tier 2 애플리케이션 보안 테스트를 수행하기 위한 권장 도구에는 사전 구성과 커스텀 도구의 두 가지 카테고리가 있습니다. 사전 구성된 검사 도구는 동적 스캔을 위한 OWASP Zed Attack Proxy (ZAP) 및 정적 스캔을 위한 Fluid Attacks입니다. 이러한 도구를 위한 구성 파일이 생성되었으며 아래의 사전 구성된 스캔 섹션에서 이 파일을 찾을 수 있습니다.
CWE 호환 플랫폼에서 애플리케이션을 이미 검사 중인 경우 사전 구성된 도구를 사용할 필요가 없습니다. 이 경우 스캔 중인 CWE를 지정하는 정책을 업로드해야 합니다. 자세한 내용은 아래의 맞춤 스캔 섹션을 참고하세요.
* 참고: 사전 구성된 정적 스캔 도구는 TypeScript 또는 자바스크립트 애플리케이션과 호환되지 않습니다. 애플리케이션이 TypeScript 또는 자바스크립트로 프로그래밍된 경우 커스텀 정적 스캔 도구 중 하나를 사용하세요.
사전 구성된 스캔
| 스캔 도구 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
안내 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
OWASP ZAP ; ZAP Docker 컨테이너를 사용하여 애플리케이션에 대해 자동화된 동적 스캔 (DAST)을 수행합니다. 사전 정의된 구성 파일에는 이미 필요한 모든 CWE가 포함되어 있습니다. 환경 및 Docker 실행 명령어에 추가하기만 하면 됩니다. 여기에서 시작 |
||||||
FluidAttacks Free & Open Source CLI |
FluidAttacks 오픈소스 CLI를 활용하여 애플리케이션에 대해 자동 정적 (SAST) 검사를 수행합니다. 필요한 모든 CWE를 포함하도록 Docker 이미지가 생성되었습니다. 컨테이너를 가동하고 컨테이너에서 스캔 명령어를 실행하면 됩니다. 시작하기 |
맞춤 DAST / SAST 도구
CASA 맞춤 검사 요구사항을 충족하는 모든 CWE 호환 앱 검사 도구를 사용할 수 있습니다.CWE 호환 도구의 예가 아래에 나와 있는 상업용 및 오픈소스 옵션 목록 (전체 목록이 아님)입니다.
여기에서 시작