Há duas categorias de ferramentas recomendadas para realizar os testes de segurança de aplicativos do nível 2: pré-configuradas e personalizadas. As ferramentas de verificação pré-configuradas são o OWASP Zed Attack Proxy (ZAP) para verificação dinâmica e o Fluid Attacks* para verificação estática. Os arquivos de configuração foram criados para essas ferramentas e podem ser encontrados na seção de verificação pré-configurada abaixo.
Não é necessário usar as ferramentas pré-configuradas se você já estiver verificando seu aplicativo com plataformas compatíveis com CWE. Nesse caso, será necessário fazer upload de uma política especificando quais CWEs você está verificando. Confira mais instruções na seção de verificação personalizada abaixo.
* OBSERVAÇÃO: a ferramenta de verificação estática pré-configurada NÃO é compatível com aplicativos TypeScript ou JavaScript. Caso seu aplicativo seja programado em TypeScript ou JavaScript, use uma das ferramentas personalizadas de verificação estática.
Verificações pré-configuradas
| Ferramenta de verificação | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Instruções |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Use o contêiner do Docker OWASP ZAP (ZAP) para executar verificações dinâmicas automatizadas (DAST) no seu aplicativo. Os arquivos de configuração predefinidos já têm todos os CWEs necessários incluídos. Basta adicioná-lo ao ambiente e ao comando de execução do Docker. Comece aqui |
||||||
FluidAttacks Free & Open Source CLI |
Use a CLI de código aberto FluidAttacks para realizar verificações estáticas automatizadas (SAST, na sigla em inglês) no seu aplicativo. Uma imagem do Docker foi criada para incluir todos os CWEs necessários. Basta ativar o contêiner e executar o comando "scan" nele. Comece por aqui |
Ferramentas DAST / SAST personalizadas
Você pode usar qualquer ferramenta de verificação de aplicativos compatível com CWE que atenda aos requisitos de verificação personalizada da CASL.Uma lista de opções comerciais e de código aberto (não abrangentes) é fornecida abaixo como exemplo de ferramentas compatíveis com CWE
-
Burp Suite (em inglês)
-
Fortify (em inglês)
-
Acunetix (link em inglês)