执行第 2 层应用安全测试的推荐工具分为两类:预配置和自定义工具。预配置的扫描工具包括用于动态扫描的 OWASP Zed Attack Proxy (ZAP) 和用于静态扫描的 Fluid Attacks*。系统为这些工具创建了配置文件,您可以在下面的预配置扫描部分找到这些文件。
如果您已在使用任何 CWE 兼容平台扫描应用 ,则无需使用预配置工具。在这种情况下,您需要上传政策以指定扫描哪些 CWE。 有关详细说明,请参阅下文中的“自定义扫描”部分。
* 注意:预配置的静态扫描工具与 TypeScript 或 JavaScript 应用不兼容。如果您的应用采用 TypeScript 或 JavaScript 编程,请使用其中一种自定义静态扫描工具。
预配置的扫描
| 扫描工具 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
操作说明 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
使用 OWASP ZAP ;ZAP Docker 容器针对您的应用执行自动动态扫描 (DAST)。预定义的配置文件已包含所有必要的 CWE。您唯一需要做的就是将其添加到您的环境和 Docker 运行命令。从这里开始 |
||||||
FluidAttacks Free & Open Source CLI |
利用 FlidAttacks 开源 CLI 针对您的应用执行自动静态 (SAST) 扫描。已创建 Docker 映像,以包含所有必要的 CWE。只需启动容器并在其中运行扫描命令即可。从这里开始 |
自定义 DAST / SAST 工具
您可以使用任何符合 CASA 自定义扫描要求且与 CWE 兼容的应用扫描工具。下面列出了商业和开源选项(并非详尽无遗)作为示例 CWE 兼容工具
从此处开始