如要執行第 2 層應用程式安全性測試,建議您使用預先設定和自訂工具這兩種類別。預先設定的掃描工具包括用於動態掃描的 OWASP Zed Attack Proxy (ZAP) 和用於靜態掃描的 Fluid 攻擊*。已為這些工具建立設定檔,您可以在下方預先設定的掃描部分中找到設定檔。
如果您已使用任何 CWE 相容平台 掃描應用程式,就不需要使用預先設定的工具。在這種情況下,您必須上傳政策,指定您要掃描的 CWE。詳情請參閱下方的自訂掃描一節。
* 注意:預先設定的靜態掃描工具「不」與 TypeScript 或 JavaScript 應用程式相容。如果您的應用程式是以 TypeScript 或 JavaScript 編寫,請使用自訂靜態掃描工具。
預先設定掃描
| 掃描工具 | Web |
Mobile |
Local |
API |
Extension |
Serverless |
操作說明 |
|---|---|---|---|---|---|---|---|
OWASP® Zed Attack Proxy (ZAP) |
使用 OWASP ZAP ;ZAP Docker 容器對應用程式執行自動化動態掃描 (DAST)。預先定義的設定檔已包含所有必要的 CWE。您只需要將其新增至環境和 Docker 執行指令即可。按這裡開始 |
||||||
FluidAttacks Free & Open Source CLI |
運用 FluidAttacks 開放原始碼 CLI 對應用程式執行自動化靜態 (SAST) 掃描。已建立 Docker 映像檔以納入所有必要的 CWE。只要啟動容器並執行容器內的掃描指令即可。從這裡開始 |
自訂 DAST / SAST 工具
您可以使用任何與 CWE 相容的應用程式掃描工具,並符合 CASA 自訂掃描規定。以下提供與 CWE 相容的工具範例,並提供商業和開放原始碼選項清單 (僅列舉部分內容)
請按這裡