เครื่องมือแนะนำสำหรับการดำเนินการทดสอบความปลอดภัยของแอปพลิเคชันระดับ 2 มีอยู่ 2 หมวดหมู่ ได้แก่ ที่กำหนดค่าไว้ล่วงหน้าและเครื่องมือที่กำหนดเอง เครื่องมือสแกนที่กําหนดค่าไว้ล่วงหน้า ได้แก่ OWASP Zed Attack Proxy (ZAP) สําหรับการสแกนแบบไดนามิก และ Fluid Attacks* สําหรับการสแกนแบบคงที่ ระบบได้สร้างไฟล์กําหนดค่าสําหรับเครื่องมือเหล่านี้แล้ว ซึ่งจะดูได้ในส่วนการสแกนที่กําหนดค่าไว้ล่วงหน้าด้านล่าง
คุณไม่จำเป็นต้องใช้เครื่องมือที่กําหนดค่าไว้ล่วงหน้าหากกําลังสแกนแอปพลิเคชันด้วยแพลตฟอร์มที่เข้ากันได้กับ CWE อยู่แล้ว ในกรณีนี้ คุณจะต้องอัปโหลดนโยบายที่ระบุ CWE ที่คุณกำลังสแกน ดูวิธีการเพิ่มเติมได้ในส่วนการสแกนที่กำหนดเองด้านล่าง
* หมายเหตุ: เครื่องมือสแกนแบบคงที่ที่กำหนดค่าไว้ล่วงหน้าใช้ร่วมกับแอปพลิเคชัน TypeScript หรือ JavaScript ไม่ได้ โปรดใช้เครื่องมือสแกนแบบคงที่ที่กําหนดเองอย่างใดอย่างหนึ่งหากแอปพลิเคชันของคุณเขียนโปรแกรมด้วย TypeScript หรือ JavaScript
การสแกนที่กําหนดค่าไว้ล่วงหน้า
| เครื่องมือสแกน | Web |
Mobile |
Local |
API |
Extension |
Serverless |
วิธีการ |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
ใช้ OWASP ZAP และคอนเทนเนอร์ ZAP Docker เพื่อทำการสแกนแบบไดนามิกอัตโนมัติ (DAST) กับแอปพลิเคชัน ไฟล์การกำหนดค่าที่กำหนดไว้ล่วงหน้ามี CWE ที่จำเป็นทั้งหมดอยู่แล้ว สิ่งที่ต้องทำมีเพียงเพิ่มลงในสภาพแวดล้อมและคำสั่ง run ของ Docker เริ่มต้นที่นี่ |
||||||
FluidAttacks Free & Open Source CLI |
ใช้ประโยชน์จาก FluidAttacks โอเพนซอร์ส CLI เพื่อทำการสแกนแบบคงที่ (SAST) อัตโนมัติกับแอปพลิเคชันของคุณ ระบบได้สร้างอิมเมจ Docker เพื่อรวม CWE ที่จำเป็นทั้งหมด เพียงสร้างคอนเทนเนอร์และเรียกใช้คำสั่งสแกนภายในคอนเทนเนอร์ เริ่มที่นี่ |
เครื่องมือ DAST/SAST ที่กําหนดเอง
คุณสามารถใช้เครื่องมือสแกนแอปที่เข้ากันได้กับ CWE ซึ่งเป็นไปตามข้อกำหนดการสแกนที่กำหนดเองของ CASAรายการตัวเลือกเชิงพาณิชย์และโอเพนซอร์ส (ไม่ครอบคลุม) มีให้บริการที่ด้านล่างเพื่อเป็นตัวอย่างเครื่องมือที่ใช้ร่วมกับ CWE ได้