Dostępne są 2 kategorie zalecanych narzędzi do testowania zabezpieczeń aplikacji poziomu 2: wstępnie skonfigurowane i narzędzia niestandardowe. Wstępnie skonfigurowane narzędzia do skanowania to: OWASP Zed Attack Proxy (ZAP) do skanowania dynamicznego i Ataki płynne* (w przypadku skanowania statycznego). Dla tych narzędzi utworzono pliki konfiguracji, które można znaleźć w gotowej sekcji skanowania poniżej.
Jeśli nie skanujesz już aplikacji na platformach zgodnych z CWE, nie musisz używać wstępnie skonfigurowanych narzędzi. W takim przypadku musisz przesłać zasadę określającą, które aplikacje CWE chcesz skanować. Dalsze instrukcje znajdziesz w sekcji skanowania niestandardowego poniżej.
* UWAGA: wstępnie skonfigurowane narzędzie do skanowania statycznego NIE jest zgodne z aplikacjami TypeScript ani JavaScript. Jeśli Twoja aplikacja jest napisana w języku TypeScript lub JavaScript, użyj jednego z niestandardowych statycznych narzędzi do skanowania.
Wstępnie skonfigurowane skanowania
Narzędzie do skanowania | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Instrukcje |
---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Użyj kontenera OWASP ZAP ; aby automatycznie uruchamiać skanowanie dynamiczne (DAST) w aplikacji. Wstępnie zdefiniowane pliki konfiguracji mają już wszystkie niezbędne CWE. Wystarczy tylko, że dodasz je do swojego środowiska i do polecenia uruchomienia Dockera. Zacznij tutaj |
||||||
FluidAttacks Free & Open Source CLI |
Wykorzystaj interfejs wiersza poleceń fluidAataks do wykonywania automatycznych skanów statycznych (SAST) w aplikacji. Obraz Dockera został utworzony, aby uwzględnić wszystkie niezbędne CWE. Wystarczy uruchomić kontener i uruchom w nim polecenie skanowania. Zacznij tutaj |
Niestandardowe narzędzia DAST / SAST
Możesz używać dowolnego narzędzia do skanowania aplikacji zgodnego z CWE, które spełnia wymagania dotyczące skanowania niestandardowego CASA.Poniżej znajdziesz listę komercyjnych i otwartych źródeł (niekompletnych) dostępnych jako przykłady narzędzi zgodnych z CWE.
-
LDRA.