2. Katman uygulama güvenlik testlerinizi gerçekleştirmek için önerilen iki araç kategorisi vardır: önceden yapılandırılmış ve özel araçlar. Önceden yapılandırılmış tarama araçları, dinamik tarama için OWASP Zed Attack Proxy (ZAP) ve statik tarama için Fluid Attacks*'tır. Bu araçlar için oluşturulan yapılandırma dosyaları, aşağıdaki önceden yapılandırılmış tarama bölümünde bulunabilir.
Uygulamanızı CWE uyumlu herhangi bir platformla tarıyorsanız önceden yapılandırılmış araçları kullanmanız gerekmez . Bu durumda, tarandığınız CWE'leri belirten bir politika yüklemeniz gerekir. Aşağıdaki özel tarama bölümünde daha fazla talimat bulabilirsiniz.
* NOT: Önceden yapılandırılmış statik tarama aracı, TypeScript veya JavaScript uygulamalarıyla uyumlu DEĞİLDİR. Uygulamanız TypeScript veya JavaScript ile programlanmışsa lütfen özel statik tarama araçlarından birini kullanın.
Önceden Yapılandırılmış Taramalar
| Tarama Aracı | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Talimatlar |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Uygulamanıza karşı otomatik dinamik taramalar (DAST) gerçekleştirmek için OWASP ZAP ; ZAP Docker kapsayıcısını kullanın. Önceden tanımlanmış yapılandırma dosyalarında, gerekli tüm CWE'ler zaten mevcuttur. Tek yapmanız gereken, bu komutu ortama ve Docker çalıştırma komutuna eklemektir. Buradan Başlayın |
||||||
FluidAttacks Free & Open Source CLI |
Uygulamanız üzerinde otomatik statik (SAST) taramalar yapmak için FluidAttacks açık kaynak CLI'sinden yararlanın. Gerekli tüm CWE'leri içerecek şekilde bir Docker görüntüsü oluşturuldu. Tek yapmanız gereken kapsayıcıyı başlatmak ve içinde tarama komutunu çalıştırmaktır. Buradan Başlayın |
Özel DAST/SAST Araçları
CASA özel tarama şartlarını karşılayan CWE uyumlu uygulama tarama araçlarını kullanabilirsiniz. Aşağıda, CWE uyumlu araçlara örnek olarak ticari ve açık kaynak seçeneklerinin bir listesi (kapsamlı değildir) verilmiştir