Có hai danh mục công cụ được đề xuất để thực hiện kiểm thử bảo mật ứng dụng cấp 2: công cụ được định cấu hình trước và công cụ tuỳ chỉnh. Các công cụ quét được định cấu hình trước là OWASP Zed Attack Proxy (ZAP) để quét động và Fluid Attacks* để quét tĩnh. Đã tạo tệp cấu hình cho các công cụ này và bạn có thể tìm thấy trong phần quét được định cấu hình sẵn bên dưới.
Bạn không cần phải sử dụng các công cụ được định cấu hình sẵn nếu đã quét ứng dụng của mình bằng bất kỳ nền tảng nào tương thích với CWE. Trong trường hợp này, bạn sẽ cần tải một chính sách lên để chỉ định những CWE mà bạn đang quét. Bạn có thể xem thêm hướng dẫn trong phần quét tuỳ chỉnh bên dưới.
* LƯU Ý: Công cụ quét tĩnh được định cấu hình sẵn KHÔNG tương thích với các ứng dụng TypeScript hoặc JavaScript. Vui lòng sử dụng một trong các công cụ quét tĩnh tuỳ chỉnh nếu ứng dụng của bạn được lập trình bằng TypeScript hoặc JavaScript.
Quy trình quét được định cấu hình sẵn
| Công cụ quét | Web |
Mobile |
Local |
API |
Extension |
Serverless |
Hướng dẫn |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
Sử dụng OWASP ZAP ; vùng chứa Docker ZAP để quét động tự động (DAST) đối với ứng dụng của bạn. Các tệp cấu hình được xác định trước đã bao gồm tất cả các CWE cần thiết. Bạn chỉ cần thêm tệp này vào môi trường và lệnh chạy Docker. Bắt đầu tại đây |
||||||
FluidAttacks Free & Open Source CLI |
Tận dụng CLI nguồn mở FluidAttacks để quét tĩnh (SAST) tự động cho ứng dụng của bạn. Một hình ảnh Docker đã được tạo để bao gồm tất cả CWE cần thiết. Bạn chỉ cần khởi động vùng chứa và chạy lệnh quét trong vùng chứa đó. Bắt đầu tại đây |
Công cụ DAST/SAST tuỳ chỉnh
Bạn có thể sử dụng bất kỳ (các) công cụ quét ứng dụng nào tương thích với CWE và đáp ứng các yêu cầu về quy trình quét tuỳ chỉnh của CASA.Danh sách các lựa chọn thương mại và nguồn mở (chưa đầy đủ) được cung cấp dưới đây để làm ví dụ về các công cụ tương thích với CWE
Bắt đầu tại đây