Существует две категории рекомендуемых инструментов для проведения тестов безопасности приложений уровня 2: предварительно настроенные и пользовательские инструменты . Предварительно настроенные инструменты сканирования — это OWASP Zed Attack Proxy (ZAP) для динамического сканирования и Fluid Attacks* для статического сканирования. Для этих инструментов были созданы файлы конфигурации, которые можно найти в разделе предварительно настроенного сканирования ниже.
Вам не нужно использовать предварительно настроенные инструменты, если вы уже сканируете свое приложение на любой CWE-совместимой платформе. В этом случае вам нужно будет загрузить политику, определяющую, какие CWE вы сканируете . Дальнейшие инструкции можно найти в разделе пользовательского сканирования ниже.
* ПРИМЕЧАНИЕ. Предварительно настроенный инструмент статического сканирования НЕ совместим с приложениями TypeScript или JavaScript. Пожалуйста, используйте один из пользовательских инструментов статического сканирования, если ваше приложение запрограммировано на TypeScript или JavaScript.
Предварительно настроенные сканирования
| Сканирующий инструмент | Web | Mobile | Local | API | Extension | Serverless | Инструкции |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) | Используйте OWASP ZAP ; Контейнер ZAP Docker для выполнения автоматического динамического сканирования (DAST) вашего приложения. Предопределенные файлы конфигурации уже содержат все необходимые CWE. Все, что вам нужно сделать, это добавить его в свою среду и запустить команду Docker. Начните здесь | ||||||
FluidAttacks Free & Open Source CLI | Используйте интерфейс командной строки с открытым исходным кодом FluidAttacks для выполнения автоматического статического (SAST) сканирования вашего приложения. Образ Docker был создан для включения всех необходимых CWE. Просто раскрутите контейнер и запустите в нем команду сканирования. Начните здесь |
Пользовательские инструменты DAST/SAST
Вы можете использовать любые CWE-совместимые инструменты сканирования приложений, соответствующие требованиям выборочного сканирования CASA . Список коммерческих вариантов и вариантов с открытым исходным кодом (неполный) представлен ниже в качестве примера инструментов, совместимых с CWE.
Начать здесь