Ta strona została przetłumaczona przez Cloud Translation API.

Poziom 2 – zalecane narzędzia

Istnieją 2 kategorie zalecanych narzędzi do przeprowadzania testów bezpieczeństwa aplikacji na poziomie 2: wstępnie skonfigurowane i narzędzia niestandardowe. Wstępnie skonfigurowane narzędzia do skanowania to OWASP Zed Attack Proxy (ZAP) do skanowania dynamicznego i Fluid Attacks* do skanowania stałego. Pliki konfiguracji zostały utworzone dla tych narzędzi i można je znaleźć w poniższej sekcji ze wstępnie skonfigurowanym skanowaniem.

Nie musisz używać wstępnie skonfigurowanych narzędzi, jeśli już skanujesz aplikację za pomocą dowolnej platformy zgodnej z CWE. W takim przypadku musisz przesłać zasadę określającą, które kody CWE skanujesz. Dalsze instrukcje można znaleźć w poniższej sekcji dotyczącej skanowania niestandardowego.

* UWAGA: wstępnie skonfigurowane statyczne narzędzie do skanowania NIE jest zgodne z aplikacjami TypeScript ani JavaScript. Jeśli Twoja aplikacja jest zaprogramowana w języku TypeScript lub JavaScript, użyj jednego z niestandardowych narzędzi do skanowania statycznego.

Skonfigurowane skanowania

Narzędzie do skanowania Web Mobile Local API Extension Serverless Instrukcje

OWASP® Zed Attack Proxy (ZAP)
Użyj kontenera Dockera OWASP ZAP, aby przeprowadzić automatyczne skanowanie dynamiczne (DAST) aplikacji. Wstępnie zdefiniowane pliki konfiguracji zawierają już wszystkie niezbędne CWE. Wystarczy, że dodasz go do środowiska i polecenia docker run. Zacznij tutaj

FluidAttacks Free & Open Source CLI
Wykorzystaj interfejs wiersza poleceń typu open source FluidAttacks do wykonywania automatycznych skanowań statycznych (SAST) w swojej aplikacji. Utworzono obraz Dockera, który zawiera wszystkie niezbędne CWE. Wystarczy uruchomić kontener i uruchomić w nim polecenie skanowania. Zacznij tutaj

Niestandardowe narzędzia DAST/SAST

Możesz użyć dowolnego narzędzia do skanowania aplikacji zgodnego z CWE, które spełnia wymagania dotyczące skanowania niestandardowego przez CASA. Poniżej znajdziesz listę komercyjnych i open source’owych opcji (niepełna) z przykładowymi narzędziami zgodnymi z CWE.

Veracode

LDRA

Burp Suite

Fluid atakuje SAS

Sonar

Nadmiarowe zabezpieczenie

Fortify

Acunetix

Checkmarx

Zacznij tutaj
Fluid Attacks: Copyright © 2022 Fluid Attacks. Hakerzy atakują Twoje oprogramowanie. Wszelkie prawa zastrzeżone.
ZAP: ZAP jest flagowym projektem OWASP © Copyright 2022 zespół dla programistów ZAP OWASP jest zastrzeżonym znakiem towarowym organizacji OWASP Foundation, Inc.

Narzędzie do skanowania	`Web`	`Mobile`	`Local`	`API`	`Extension`	`Serverless`	Instrukcje
`OWASP® Zed Attack Proxy (ZAP)`							Użyj kontenera Dockera OWASP ZAP, aby przeprowadzić automatyczne skanowanie dynamiczne (DAST) aplikacji. Wstępnie zdefiniowane pliki konfiguracji zawierają już wszystkie niezbędne CWE. Wystarczy, że dodasz go do środowiska i polecenia docker run. Zacznij tutaj
`FluidAttacks Free & Open Source CLI`							Wykorzystaj interfejs wiersza poleceń typu open source FluidAttacks do wykonywania automatycznych skanowań statycznych (SAST) w swojej aplikacji. Utworzono obraz Dockera, który zawiera wszystkie niezbędne CWE. Wystarczy uruchomić kontener i uruchomić w nim polecenie skanowania. Zacznij tutaj