Esta página foi traduzida pela API Cloud Translation.

Nível 2: ferramentas recomendadas

Há duas categorias de ferramentas recomendadas para executar os testes de segurança do aplicativo de nível 2: ferramentas pré-configuradas e personalizadas. As ferramentas de verificação pré-configuradas são OWASP Zed Attack Proxy (ZAP) para verificação dinâmica e Ataques de fluido* para verificação estática. Os arquivos de configuração foram criados para essas ferramentas e podem ser encontrados na seção de verificação pré-configurada abaixo.

Você não precisa usar as ferramentas pré-configuradas se já estiver verificando seu aplicativo com qualquer plataforma compatível com o CWE. Nesse caso, faça upload de uma política que especifique os CWEs que você está verificando. Veja mais instruções na seção de digitalização personalizada abaixo.

* OBSERVAÇÃO: a ferramenta de verificação estática pré-configurada NÃO é compatível com aplicativos TypeScript ou JavaScript. Use uma das ferramentas de verificação estática personalizada se o aplicativo for programado em TypeScript ou JavaScript.

Verificações pré-configuradas

Ferramenta de leitura	`Web`	`Mobile`	`Local`	`API`	`Extension`	`Serverless`	Instruções
`OWASP® Zed Attack Proxy (ZAP)`							Use o ZAP do OWASP ; contêiner do Docker do ZAP para executar verificações dinâmicas automatizadas (DAST, na sigla em inglês) no seu aplicativo. Os arquivos de configuração predefinidos já têm todos os CWEs necessários. Tudo o que você precisa fazer é adicioná-lo ao ambiente e ao comando de execução do Docker. Comece aqui
`FluidAttacks Free & Open Source CLI`							Aproveite a CLI de código aberto do FluidAttacks (em inglês) para realizar verificações estáticas automatizadas (SAST, na sigla em inglês) no seu aplicativo. Uma imagem do Docker foi criada para incluir todos os CWEs necessários. Basta ativar o contêiner e executar o comando de verificação dentro dele. Comece por aqui

Ferramentas DAST / SAST personalizadas

É possível usar qualquer ferramenta de verificação de apps compatível com o CWE que atenda aos requisitos de verificação personalizada do CASA.Veja abaixo uma lista de opções comerciais e de código aberto (não abrangentes) como exemplos de ferramentas compatíveis com o CWE.

Veracode (link em inglês)
LDRA (em inglês)
Burp Suite (em inglês)
Ataques flexíveis (SAS)
Sonar
Não seguro
Fortificar
Acunetix (em inglês)
Checkmarx (em inglês)

Comece aqui