建议使用两类工具来执行第 2 层级应用安全测试:预配置的工具和自定义工具。预配置的扫描工具包括用于动态扫描的 OWASP Zed Attack Proxy (ZAP),以及用于静态扫描的 Fluid Attacks*。我们已为这些工具创建了配置文件,您可以在下文的“预配置扫描”部分找到这些文件。
如果您已在任何与 CWE 兼容的平台上扫描应用,则无需使用预配置的工具。在这种情况下,您需要上传一个政策来指定要扫描哪些 CWE。 如需了解详情,请参阅下文中的自定义扫描部分。
* 注意:预配置的静态扫描工具不兼容 TypeScript 或 JavaScript 应用。如果您的应用是使用 TypeScript 或 JavaScript 编程的,请使用其中一个自定义静态扫描工具。
预配置的扫描
| 扫描工具 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
操作说明 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
使用 OWASP ZAP ; ZAP Docker 容器对您的应用执行自动动态扫描 (DAST)。预定义配置文件已包含所有必要的 CWE。您只需将其添加到环境和 Docker 运行命令中即可。 从这里开始 |
||||||
FluidAttacks Free & Open Source CLI |
利用 FlidAttacks 开源 CLI 对您的应用执行自动静态 (SAST) 扫描。已创建一个 Docker 映像,其中包含所有必要的 CWE。只需启动容器并在其中运行扫描命令即可。从这里开始 |
自定义 DAST/SAST 工具
您可以使用任何符合 CASA 自定义扫描要求且与 CWE 兼容的应用扫描工具。下面列出了一些商业和开源选项(并非详尽无遗),作为与 CWE 兼容的工具示例
从这里开始