เครื่องมือที่แนะนําสําหรับการใช้งานทดสอบแอปพลิเคชันระดับ 2 มีอยู่ 2 หมวดหมู่ ได้แก่ เครื่องมือที่กําหนดค่าล่วงหน้าและเครื่องมือที่กําหนดเอง เครื่องมือสแกนที่กําหนดค่าไว้ล่วงหน้าคือ OWASP Zed Attack Proxy (ZAP) สําหรับการสแกนแบบไดนามิก และ Fluid Attacks* สําหรับการสแกนแบบคงที่ ระบบได้สร้างไฟล์การกําหนดค่าสําหรับเครื่องมือเหล่านี้แล้ว ซึ่งจะอยู่ในส่วนการสแกนที่กําหนดค่าไว้ล่วงหน้าด้านล่าง
คุณไม่จําเป็นต้องใช้เครื่องมือที่กําหนดค่าล่วงหน้าหากสแกนแอปพลิเคชัน กับแพลตฟอร์มที่เข้ากันได้กับ CWE อยู่แล้ว ในกรณีนี้ คุณจะต้องอัปโหลดนโยบายที่ระบุ CWE ที่คุณสแกน ดูวิธีการเพิ่มเติมได้ในส่วนการสแกนที่กําหนดเองด้านล่าง
* หมายเหตุ: เครื่องมือสแกนแบบคงที่ที่กําหนดค่าไว้ล่วงหน้าจะใช้งานร่วมกับแอปพลิเคชัน TypeScript หรือ JavaScript ไม่ได้ โปรดใช้เครื่องมือสแกนแบบคงที่ที่กําหนดเองรายการใดรายการหนึ่ง หากแอปพลิเคชันของคุณเขียนโปรแกรมไว้ใน TypeScript หรือ JavaScript
การสแกนที่กําหนดค่าไว้ล่วงหน้า
| เครื่องมือสแกน | Web |
Mobile |
Local |
API |
Extension |
Serverless |
วิธีการ |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
ใช้ OWASP ZAP ; คอนเทนเนอร์ ZAP Dock เพื่อดําเนินการสแกนอัตโนมัติ (DAST) กับแอปพลิเคชัน ไฟล์การกําหนดค่าที่กําหนดไว้ล่วงหน้า จะมี CWE ที่จําเป็นทั้งหมดอยู่แล้ว สิ่งที่คุณต้องทําคือเพิ่มคําสั่งลงในสภาพแวดล้อมและคําสั่งเรียกใช้คําสั่งของ CDN เริ่มที่นี่ |
||||||
FluidAttacks Free & Open Source CLI |
ใช้ประโยชน์จาก FluidAttacks CLI แบบโอเพนซอร์สเพื่อทําการสแกนแบบคงที่ (SAST) โดยอัตโนมัติกับแอปพลิเคชัน สร้างอิมเมจแท่นชาร์จเพื่อรวม CWE ที่จําเป็นทั้งหมดแล้ว เพียงสร้างคอนเทนเนอร์ขึ้น แล้วเรียกใช้คําสั่งสแกนภายใน เริ่มที่นี่ |
เครื่องมือ DAST / SAST ที่กําหนดเอง
คุณสามารถใช้เครื่องมือสแกนแอปที่เข้ากันได้กับ CWE ซึ่งเป็นไปตามข้อกําหนดในการสแกนที่กําหนดเองของ CASAรายการตัวเลือกเชิงพาณิชย์และโอเพนซอร์ส (ไม่ครอบคลุม) ระบุไว้ด้านล่าง เช่น เครื่องมือที่ใช้ได้กับ CWE
เริ่มที่นี่