建議您使用兩類工具來執行第 2 級應用程式安全性測試:預先設定和自訂工具。預先設定的掃描工具包括 OWASP Zed Attack Proxy (ZAP),可用於動態掃描,以及 Fluid Attacks*,可用於靜態掃描。我們已為這些工具建立設定檔,您可以在下方的預先設定掃描部分找到這些檔案。
如果您已使用任何 CWE 相容平台掃描應用程式,則不必使用預先設定的工具。在這種情況下,您必須上傳政策,指定要掃描哪些 CWE。如需進一步的操作說明,請參閱下方的自訂掃描部分。
* 注意:預先設定的靜態掃描工具不相容於 TypeScript 或 JavaScript 應用程式。如果您的應用程式是使用 TypeScript 或 JavaScript 編寫,請使用其中一種自訂靜態掃描工具。
預先設定的掃描作業
| 掃描工具 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
操作說明 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
使用 OWASP ZAP;ZAP Docker 容器可針對應用程式執行自動動態掃描 (DAST)。預先定義的設定檔已包含所有必要的 CWE。您只需要將其新增至環境和 Docker 執行指令即可。從這裡開始 |
||||||
FluidAttacks Free & Open Source CLI |
運用 FluidAttack 開放原始碼 CLI,對應用程式執行自動靜態 (SAST) 掃描作業。已建立 Docker 映像檔,其中包含所有必要的 CWE。只要啟動容器,並在其中執行掃描指令即可。從這裡開始 |
自訂 DAST / SAST 工具
您可以使用任何符合 CASA 自訂掃描規定的 CWE 相容應用程式掃描工具。以下提供商業和開放原始碼選項 (非完整清單),做為 CWE 相容工具的範例
從這裡開始