Существует две категории рекомендуемых инструментов для выполнения тестов безопасности приложений уровня 2: предварительно настроенные и настраиваемые инструменты . Предварительно настроенные инструменты сканирования — OWASP Zed Attack Proxy (ZAP) для динамического сканирования и Fluid Attacks* для статического сканирования. Для этих инструментов были созданы файлы конфигурации, которые можно найти в разделе предварительно настроенного сканирования ниже.
Вам не нужно использовать предварительно настроенные инструменты, если вы уже сканируете свое приложение на любых платформах, совместимых с CWE. В этом случае вам нужно будет загрузить политику, указывающую, какие CWE вы сканируете . Дополнительные инструкции можно найти в разделе пользовательского сканирования ниже.
* ПРИМЕЧАНИЕ. Предварительно настроенный инструмент статического сканирования НЕ совместим с приложениями TypeScript или JavaScript. Пожалуйста, используйте один из пользовательских инструментов статического сканирования, если ваше приложение запрограммировано на TypeScript или JavaScript.
Предварительно настроенные сканирования
| Инструмент сканирования | Web | Mobile | Local | API | Extension | Serverless | инструкции |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) | Используйте OWASP ZAP ; Контейнер ZAP Docker для автоматического динамического сканирования (DAST) вашего приложения. Предопределенные файлы конфигурации уже содержат все необходимые CWE. Все, что вам нужно сделать, это добавить его в свою среду и запустить команду Docker. Начало здесь | ||||||
FluidAttacks Free & Open Source CLI | Используйте интерфейс командной строки с открытым исходным кодом FluidAttacks для автоматического статического сканирования (SAST) вашего приложения. Образ Docker был создан для включения всех необходимых CWE. Просто разверните контейнер и запустите в нем команду сканирования. Начало здесь |
Пользовательские инструменты DAST/SAST
Вы можете использовать любые совместимые с CWE инструменты сканирования приложений, соответствующие требованиям пользовательского сканирования CASA . Список коммерческих опций и опций с открытым исходным кодом (неполный) приведен ниже в качестве примера инструментов, совместимых с CWE.
Начать здесь