আপডেট 03-29-2023
শিল্প প্রবণতা এবং সর্বোত্তম অনুশীলনের সাথে সারিবদ্ধ করার জন্য, অ্যাপ ডিফেন্স অ্যালায়েন্স (ADA) ওয়ার্কিং গ্রুপ 2023 সালের Q1 এ CASA পরীক্ষার পদ্ধতিগুলিকে আপডেট, সরলীকরণ এবং মানসম্মত করার জন্য পর্যালোচনা সেশন পরিচালনা করে। এই কাজের সেশনের উপর ভিত্তি করে, CASA প্রয়োজনীয়তা এবং প্রক্রিয়াটি নিম্নরূপ আপডেট করা হয়েছিল:
CASA প্রয়োজনীয়তা 134 থেকে 73 প্রয়োজনীয়তা থেকে আপডেট করা হয়েছে (নীচে বিস্তারিত দেখুন)।
CASA মূল্যায়ন পাস করার জন্য একটি আবেদনকে অবশ্যই CWE রেটিং নির্বিশেষে 73টি CASA প্রয়োজনীয়তার সমস্ত পাস বা সাফ করতে হবে।
ল্যাব পরিচালিত টায়ার 2 অন্তর্ভুক্ত করার জন্য আপডেট করা স্তরের বিবরণ।
প্রতিটি স্তরের জন্য নিশ্চিত তথ্য যোগ করা হয়েছে।
স্তর 2 স্ব-স্ক্যান প্রক্রিয়া সহজ করার জন্য ছোটখাট আপডেট।
CASA প্রয়োজনীয়তা আপডেট
বর্তমান প্রয়োজনীয়তার আপডেট করা তালিকা এখানে পাওয়া যাবে
নিম্নলিখিত প্রয়োজনীয়তা মুছে ফেলা হয়েছে
req_id | ওয়ার্কিং গ্রুপ প্রতিক্রিয়া |
8.1.6 | এই প্রয়োজনীয়তাটিকে আরও কিছু কার্যকর করার জন্য পুনর্বিবেচনা করবে (যেমন ব্যাকআপগুলি শুধুমাত্র X পরিমাণের জন্য রাখা উচিত, ব্যাকআপগুলিকে চুরি/দুর্নীতির জন্য নিরীক্ষণ করা উচিত, ব্যাকআপগুলিকে নিয়মিতভাবে অডিট করা উচিত যাতে তাদের উৎপাদনে ফিরিয়ে আনার ক্ষমতা নিশ্চিত করা যায়)। বর্তমান অনুমানটি খুব বিস্তৃত এবং আরও সংজ্ঞা প্রয়োজন হবে। |
5.1.4 | অন্যান্য পরীক্ষার ক্ষেত্রে নকল. এটি একটি উচ্চ প্রচেষ্টা কম মূল্য পরীক্ষার ক্ষেত্রে. অপসারণ করার জন্য সুপারিশ করা হয়েছে. |
7.3.3 | অন্যান্য পরীক্ষার ক্ষেত্রে নকল. এটি একটি উচ্চ প্রচেষ্টা কম মূল্য পরীক্ষার ক্ষেত্রে. অপসারণ করার জন্য সুপারিশ করা হয়েছে. |
1.2.2 | 4.1.1 এর মতো অন্যান্য অনুরোধে কভারেজের কারণে সরান |
2.2.4 | Req সরান কারণ এটি 4.3.1 দ্বারা আচ্ছাদিত (4.3.1 প্রশাসনিক ইন্টারফেসগুলি যথাযথ মাল্টি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করে যাচাই করুন৷ অননুমোদিত ব্যবহার প্রতিরোধ করুন। |
2.2.5 | বেশিরভাগ সিএসপি দ্বারা mTLS সমর্থিত নয় বলে সরান, এছাড়াও CASA-এর জন্য পরীক্ষা করা বেশিরভাগ বিকাশকারী পাসওয়ার্ড ভিত্তিক প্রমাণীকরণ ব্যবহার করবে |
2.4.3 | লিখিত মান প্রয়োগযোগ্য হওয়ার জন্য যথেষ্ট নির্দিষ্ট নয় |
2.4.5 | ASVS-এর V5-এ প্রয়োজনীয়তা সরানো হয়েছে এবং 2.4.1-এ প্রস্তাবিত হ্যাশিং অ্যালগরিদম এই প্রয়োজনীয়তা পূরণ করতে পারে না |
2.7.5 | পরীক্ষা করা অসম্ভব কারণ এটির জন্য 3য় পক্ষের OOB প্রদানকারীদের বিশ্লেষণের প্রয়োজন হতে পারে, এখানে ঝুঁকি কম কারণ প্রমাণীকরণ কোডটি স্বল্পস্থায়ী। |
2.8.2 | প্রয়োজনীয়তা শুধুমাত্র কাস্টম এমএফএ সমাধানগুলির সাথে প্রাসঙ্গিক, এছাড়াও 6.4.2 এবং 6.4.1 দ্বারা আচ্ছাদিত |
2.8.5 | প্রয়োজনীয়তা সরান কারণ এটি 2.7.6 দ্বারা কভার করা হয়েছে উপরন্তু লগিং ব্যর্থ প্রচেষ্টা ASVS এর লগিং প্রয়োজনীয়তা দ্বারা আচ্ছাদিত |
2.8.6 | অ্যাপ্লিকেশন স্তরে শারীরিক ওটিপি একটি সাধারণ ব্যবহারের ক্ষেত্রে নয়, এই অনুরোধটি অ্যাডমিন ইন্টারফেসের জন্য প্রয়োজন৷ যাইহোক req 4.3.1 (প্রশাসনিক ইন্টারফেসগুলি অননুমোদিত ব্যবহার রোধ করতে উপযুক্ত মাল্টি-ফ্যাক্টর প্রমাণীকরণ ব্যবহার করে যাচাই করুন।) অ্যাডমিন ইন্টারফেসের জন্য MFA কভার করে এবং এই ঝুঁকিটি কভার করবে |
2.9.1 | এই প্রয়োজনীয়তাটি ASVS (ক্রিপ্টোগ্রাফিক নিরাপত্তা কীগুলি হল স্মার্ট কার্ড বা FIDO কী, যেখানে ব্যবহারকারীকে প্লাগ ইন বা পেয়ার করতে হবে প্রমাণীকরণ সম্পূর্ণ করতে কম্পিউটারে ক্রিপ্টোগ্রাফিক ডিভাইস। যাচাইকারীরা একটি চ্যালেঞ্জ ননস পাঠান ক্রিপ্টোগ্রাফিক ডিভাইস বা সফ্টওয়্যার, এবং ডিভাইস বা সফ্টওয়্যার একটি নিরাপদে উপর ভিত্তি করে একটি প্রতিক্রিয়া গণনা সংরক্ষিত ক্রিপ্টোগ্রাফিক কী।) এই প্রয়োজনীয়তাকে CASA এর সুযোগের বাইরে তৈরি করে যেহেতু শারীরিক ডিভাইস প্রমাণীকরণের ঝুঁকি এমএফএ (শারীরিক বা সফ্টওয়্যার) এর উদ্দেশ্যে 4.3.1 দ্বারা কভার করা হয়েছে। |
2.9.3 | এই প্রয়োজনীয়তাটি ASVS (ক্রিপ্টোগ্রাফিক নিরাপত্তা কীগুলি হল স্মার্ট কার্ড বা FIDO কী, যেখানে ব্যবহারকারীকে প্লাগ ইন বা পেয়ার করতে হবে প্রমাণীকরণ সম্পূর্ণ করতে কম্পিউটারে ক্রিপ্টোগ্রাফিক ডিভাইস। যাচাইকারীরা একটি চ্যালেঞ্জ ননস পাঠান ক্রিপ্টোগ্রাফিক ডিভাইস বা সফ্টওয়্যার, এবং ডিভাইস বা সফ্টওয়্যার একটি নিরাপদে উপর ভিত্তি করে একটি প্রতিক্রিয়া গণনা সংরক্ষিত ক্রিপ্টোগ্রাফিক কী।) এই প্রয়োজনীয়তাকে CASA এর সুযোগের বাইরে তৈরি করে যেহেতু শারীরিক ডিভাইস প্রমাণীকরণের ঝুঁকি এমএফএ (শারীরিক বা সফ্টওয়্যার) এর উদ্দেশ্যে 4.3.1 দ্বারা কভার করা হয়েছে। |
2.10.1 | প্রয়োজন 2.10.2 এর একটি দ্বন্দ্ব |
2.10.3 | 2.4.1 দ্বারা আচ্ছাদিত (যাচাই করুন যে অ্যাপ্লিকেশনটির জন্য ব্যবহারকারীর পাসওয়ার্ড সংরক্ষণ করার সময় নিম্নলিখিত পাসওয়ার্ড হ্যাশিং ফাংশনগুলির মধ্যে একটি ব্যবহার করা হয়: argon2id, scrypt, bcrypt বা PBKDF2) যা অফলাইন আক্রমণ এবং পাসওয়ার্ড স্টোরেজের ঝুঁকি কভার করে৷ |
2.10.4 | 6.4.2 দ্বারা আচ্ছাদিত যাচাই করুন যে মূল উপাদানটি অ্যাপ্লিকেশনের সংস্পর্শে আসে না বরং ক্রিপ্টোগ্রাফিক ক্রিয়াকলাপের জন্য একটি ভল্টের মতো একটি বিচ্ছিন্ন সুরক্ষা মডিউল ব্যবহার করে৷ |
3.2.3 | 3.4.1, 3.4.2 এবং 3.4.3 দ্বারা আচ্ছাদিত |
3.5.1 | ব্যবহারকারী OAuth প্রদানকারীর মাধ্যমে টোকেন প্রত্যাহার করতে পারেন |
4.3.3 | অ্যাডমিন ইন্টারফেস এবং সুবিধাপ্রাপ্ত অ্যাক্সেসের জন্য Req MFA দ্বারা আচ্ছাদিত |
5.1.3 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
5.1.4 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
5.3.2 | এই প্রয়োজনীয়তার অংশ যা প্রতিটি ইউনিকোড অক্ষর বৈধ তা নির্দিষ্ট করে তা পরীক্ষা করা চ্যালেঞ্জিং করে তুলতে পারে। প্রতিটি অ্যাপ্লিকেশনে প্রতিটি ইউনিকোড অক্ষর ফিট করার জন্য যথেষ্ট বড় একটি পাঠ্য ফর্ম অন্তর্ভুক্ত থাকবে না। নির্দিষ্ট অপারেটিং সিস্টেম এবং সমগ্র ইউনিকোড স্থানের জন্য হ্যাকিং সরঞ্জামগুলির জন্য সমর্থনের অভাব রয়েছে যা সার্ভারটি সমর্থন করলেও আপনি এটি পরীক্ষা করতে অক্ষম। সামগ্রিকভাবে প্রশ্নবিদ্ধ নিরাপত্তা মান। মূলত বিটাতে অন্তর্ভুক্ত ছিল কিন্তু পরীক্ষার সমস্যার কারণে সরিয়ে দেওয়া হয়েছে। |
6.2.5 | 6.2.4 এবং 6.2.3 দ্বারা আচ্ছাদিত |
6.2.6 | 6.2.4 এবং 6.2.3 দ্বারা আচ্ছাদিত |
6.3.1 | 6.2.4 এবং 6.2.3 দ্বারা আচ্ছাদিত |
6.3.3 | অন্যান্য র্যান্ডম সংখ্যা উত্পাদন প্রয়োজনীয়তা দ্বারা আচ্ছাদিত. |
7.1.2 | 7.1.1 দ্বারা আচ্ছাদিত |
7.1.3 | 7.1.1 দ্বারা আচ্ছাদিত |
7.3.1 | 7.1.1 দ্বারা আচ্ছাদিত |
7.3.3 | 7.1.1 দ্বারা আচ্ছাদিত |
8.1.3 | একটি গ্রহণযোগ্য বা প্রয়োজনীয় প্যারামিটার কী তা বর্ণনা করা কঠিন। একটি পরীক্ষাযোগ্য মামলা নয়। কি প্রয়োজনীয় গঠন? একটি ব্যতিক্রম বৈধ কিনা আমরা কিভাবে নির্ধারণ করব? CASA এর সুযোগের বাইরে বিবেচিত |
8.3.3 | একটি পরীক্ষাযোগ্য প্রয়োজনীয়তা নয়, গোপনীয়তা নীতি এবং পরিষেবার শর্তাবলীর সাথে প্রাসঙ্গিক এবং অ্যাপ্লিকেশন নিরাপত্তা নয়। এটি একটি আইনি এবং সম্মতি পর্যালোচনা এবং এটি CASA এর সুযোগের বাইরে |
৮.৩.৬ | নিয়ন্ত্রণ হল সিস্টেম নির্দিষ্ট (উইন্ডোজ/লিনাক্স ভেরিয়েন্ট) এবং ডিভাইস নির্দিষ্ট এবং বেশিরভাগ ক্ষেত্রে অ্যাপ্লিকেশন নিয়ন্ত্রণ নয়। |
৮.৩.৮ | 1.8.1, 1.8.2, এবং 1.1.4 দ্বারা আচ্ছাদিত |
9.2.5 | 8.3.5 দ্বারা আচ্ছাদিত এবং আবেদনের লগিং নীতি পর্যালোচনা। |
10.1.1 | আর্কিটেকচার পর্যালোচনা দ্বারা আচ্ছাদিত এবং একটি প্রস্তাবিত সেরা অনুশীলন। প্রয়োজনীয়তা পরীক্ষাযোগ্য নয় |
10.2.3 | যুক্তিসঙ্গত সময়ে করা সম্ভব নয়। যেকোন অদ্ভুত কোড নথিভুক্ত করা এবং পর্যালোচনা করা উচিত, তবে ব্যাকডোর উপস্থিত নেই তা নিশ্চিত করার জন্য নির্দিষ্ট কাজ সেট করার জন্য লাইন কোড পর্যালোচনার দ্বারা একটি গভীর লাইনের প্রয়োজন হবে এবং এটি গ্যারান্টি দেয় না যে ব্যাকডোর উপস্থিত নেই। ভালভাবে ডিজাইন করা দূষিত ফাংশনের জন্য পরীক্ষা করা কঠিন |
10.2.4 | পরীক্ষা করার কোন উপায় নেই। যুক্তিসঙ্গত সময়ে করা সম্ভব নয়। যেকোন অদ্ভুত কোড নথিভুক্ত করা এবং পর্যালোচনা করা উচিত, তবে ব্যাকডোর উপস্থিত নেই তা নিশ্চিত করার জন্য নির্দিষ্ট কাজ সেট করার জন্য লাইন কোড পর্যালোচনার দ্বারা একটি গভীর লাইনের প্রয়োজন হবে এবং এটি গ্যারান্টি দেয় না যে ব্যাকডোর উপস্থিত নেই। ভালভাবে ডিজাইন করা দূষিত ফাংশনের জন্য পরীক্ষা করা কঠিন |
10.2.5 | পরীক্ষা করার কোন উপায় নেই। যুক্তিসঙ্গত সময়ে করা সম্ভব নয়। যেকোন অদ্ভুত কোড নথিভুক্ত করা এবং পর্যালোচনা করা উচিত, তবে ব্যাকডোর উপস্থিত নেই তা নিশ্চিত করার জন্য নির্দিষ্ট কাজ সেট করার জন্য লাইন কোড পর্যালোচনার দ্বারা একটি গভীর লাইনের প্রয়োজন হবে এবং এটি গ্যারান্টি দেয় না যে ব্যাকডোর উপস্থিত নেই। ভালভাবে ডিজাইন করা দূষিত ফাংশনের জন্য পরীক্ষা করা কঠিন |
13.1.1 | 5.2.6 এবং 5.3.9 দ্বারা আচ্ছাদিত |
12.3.1 | ASVS এবং CASA-এর অধ্যায় 5 (বৈধকরণ, স্যানিটাইজেশন এবং এনকোডিং) থেকে অন্যান্য বিদ্যমান প্রয়োজনীয়তা দ্বারা আচ্ছাদিত পাথ ট্রাভার্সাল ঝুঁকি |
12.3.3 | 5.2.6 এবং 5.3.9 দ্বারা আচ্ছাদিত |
12.3.6 | 10.3.2 12.4.1 এবং 12.4.2 দ্বারা আচ্ছাদিত |
12.5.1 | 10.3.2 এবং 12.4.2 দ্বারা আচ্ছাদিত |
12.5.2 | 10.3.2 12.4.1 এবং 12.4.2 দ্বারা আচ্ছাদিত |
13.1.5 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
13.2.2 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
13.2.3 | 4.2.2 দ্বারা আচ্ছাদিত |
13.2.5 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
13.3.1 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
14.4.1 | 5.3.1 দ্বারা আচ্ছাদিত |
14.4.2 | এই অনুরোধটি অন্যান্য ইনপুট বৈধতা প্রয়োজনীয়তা দ্বারা আচ্ছাদিত এবং যদি বৈধতার অভাব একটি প্রকৃত ব্যবসায়িক যুক্তির দুর্বলতা প্রবর্তন না করে, তাহলে এটি একটি নিম্ন তীব্রতা হতে পারে। ফোন নম্বর সঠিকভাবে যাচাই না করার উদাহরণের ফলে তথ্য পৃষ্ঠায় ফোন নম্বরের শুধুমাত্র অনুপযুক্ত প্রদর্শন দেখা যায়, যার সরাসরি নিরাপত্তার প্রভাব নেই। |
14.4.3 | 5.2.7 এবং 5.3.3 দ্বারা আচ্ছাদিত |
14.4.5 | 6.2.1 এবং 9.2.1 দ্বারা আচ্ছাদিত |
14.4.7 | 12.4.1 দ্বারা আচ্ছাদিত |
14.5.3 | 14.5.2 দ্বারা আচ্ছাদিত |
2.1.5 | 2.1.1 দ্বারা আচ্ছাদিত |
2.1.6 | 2.1.1 দ্বারা আচ্ছাদিত |
2.2.3 | casa এর সাথে প্রাসঙ্গিক নয় কারণ ঝুঁকিটি অন্যান্য অ্যান্টি-অটোমেশন নিয়ন্ত্রণ দ্বারা আচ্ছাদিত |
2.5.6 | অন্যান্য পাসওয়ার্ড সুরক্ষা দ্বারা আচ্ছাদিত |
3.1.1 | এক্সপোজারের কম ঝুঁকি এবং ASVS-এর অন্যান্য নিয়ন্ত্রণ দ্বারা আচ্ছাদিত |
3.2.1 | এক্সপোজারের কম ঝুঁকি এবং ASVS-এর অন্যান্য নিয়ন্ত্রণ দ্বারা আচ্ছাদিত |
3.4.4 | এক্সপোজারের কম ঝুঁকি এবং ASVS-এর অন্যান্য নিয়ন্ত্রণ দ্বারা আচ্ছাদিত |
3.4.5 | এক্সপোজারের কম ঝুঁকি এবং ASVS-এর অন্যান্য নিয়ন্ত্রণ দ্বারা আচ্ছাদিত |
4.2.1 | 13.1.4 দ্বারা আচ্ছাদিত |
5.2.8 | অন্যান্য ইনপুট বৈধতা এবং স্যানিটাইজেশন চেক দ্বারা আচ্ছাদিত |
5.3.5 | অন্যান্য ইনপুট বৈধতা এবং স্যানিটাইজেশন চেক দ্বারা আচ্ছাদিত |
7.4.1 | লগিং চেক দ্বারা আচ্ছাদিত |
8.2.3 | 8.1.1 দ্বারা আচ্ছাদিত |
9.1.1 | 6.2.1 এবং 9.2.1 দ্বারা আচ্ছাদিত |
1.2.3 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.4.4 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.5.2 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.5.3 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.5.4 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.9.1 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.11.3 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.14.1 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.14.2 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.14.3 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.14.4 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.14.5 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
1.14.6 | 1.1.4, 1.8.4 এবং 1.8.2 দ্বারা আচ্ছাদিত |
6.1.2 | 6.1.1 দ্বারা আচ্ছাদিত |
6.1.3 | 6.1.1 দ্বারা আচ্ছাদিত |
2.10.2 | 2.5.4 দ্বারা আচ্ছাদিত |
2.2.1 | 11.1.4 দ্বারা আচ্ছাদিত |
2.7.3 | 2.7.2 দ্বারা আচ্ছাদিত |
2.7.4 | 2.7.2 দ্বারা আচ্ছাদিত |
5.1.2 | অ্যান্টি অটোমেশন কন্ট্রোল দ্বারা আচ্ছাদিত |
6.2.2 | অনুমোদিত ক্রিপ্টোগ্রাফিক অ্যালগরিদম সংজ্ঞায়িত করা হয়নি |
8.2.1 | 8.1.1 দ্বারা আচ্ছাদিত |
9.1.2 | 9.2.1 দ্বারা আচ্ছাদিত |
9.1.3 | 9.2.1 দ্বারা আচ্ছাদিত |
5.5.1 | 1.8.2 দ্বারা আচ্ছাদিত |
14.2.1 | 1.14.6 দ্বারা আচ্ছাদিত |
3.3.4 | স্টেটলেস AuthN/Z ব্যবহার করা অ্যাপ্লিকেশনগুলির জন্য এটি সত্য নয়৷ অপসারণের জন্য NCC গ্রুপের সুপারিশের সাথে একমত। এটি 3.3.3 দ্বারা কভার করা উচিত |
নিম্নলিখিত প্রয়োজনীয়তা যোগ করা হয়েছে:
req_id | বর্ণনা |
1.1.4 | সমস্ত অ্যাপ্লিকেশনের বিশ্বাসের সীমানা, উপাদান এবং উল্লেখযোগ্য ডেটা প্রবাহের ডকুমেন্টেশন এবং ন্যায্যতা যাচাই করুন। |
1.8.1 | যাচাই করুন যে সমস্ত সংবেদনশীল ডেটা সনাক্ত করা হয়েছে এবং সুরক্ষা স্তরে শ্রেণীবদ্ধ করা হয়েছে |
1.8.2 | যাচাই করুন যে সমস্ত সুরক্ষা স্তরে সুরক্ষা প্রয়োজনীয়তাগুলির একটি সম্পর্কিত সেট রয়েছে, যেমন এনক্রিপশন প্রয়োজনীয়তা, অখণ্ডতা প্রয়োজনীয়তা, ধারণ, গোপনীয়তা এবং অন্যান্য গোপনীয়তা প্রয়োজনীয়তা, এবং এইগুলি আর্কিটেকচারে প্রয়োগ করা হয়। |
2.1.1 | নিশ্চিত করুন যে ব্যবহারকারী সেট পাসওয়ার্ডের দৈর্ঘ্য কমপক্ষে 12 অক্ষর |
2.5.4 | যাচাই করুন ভাগ করা বা ডিফল্ট অ্যাকাউন্ট উপস্থিত নেই (যেমন "রুট", "অ্যাডমিন", বা "সা")। |
4.2.1 | যাচাই করুন যে সংবেদনশীল ডেটা এবং APIগুলি ইনসিকিউর ডাইরেক্ট অবজেক্ট রেফারেন্স (IDOR) আক্রমণ থেকে সুরক্ষিত আছে যাতে রেকর্ডগুলি তৈরি করা, পড়া, আপডেট করা এবং মুছে ফেলা, যেমন অন্য কারও রেকর্ড তৈরি করা বা আপডেট করা, প্রত্যেকের রেকর্ড দেখা বা সমস্ত রেকর্ড মুছে ফেলা। |
1.14.6 | যাচাই করুন অ্যাপ্লিকেশনটি অসমর্থিত, অনিরাপদ, বা অবচয় ব্যবহার করে না ক্লায়েন্ট-সাইড প্রযুক্তি যেমন NSAPI প্লাগইন, ফ্ল্যাশ, শকওয়েভ, অ্যাক্টিভএক্স, সিলভারলাইট, এনএসিএল, বা ক্লায়েন্ট-সাইড জাভা অ্যাপলেট। |