بررسی اجمالی
از آنجایی که سیستمهای پیچیده از طریق یکپارچهسازی ابر به ابر متصل میشوند، داشتن یک راه استاندارد برای ایمن کردن دادههای مصرفکننده و حریم خصوصی مهم است. در طول دهه گذشته، پیشرفت زیادی در امنیت زیرساخت ابری ایجاد شده است. با این حال، چالش های امنیتی قابل توجهی در لایه برنامه باقی مانده است.
CASA بر اساس استانداردهای شناخته شده صنعت از استاندارد تأیید امنیت برنامه OWASP (ASVS) ساخته شده است تا مجموعه ای از کنترل های امنیتی را ارائه دهد که باید در برنامه های ابری پیاده سازی شوند. علاوه بر این، CASA روشی یکسان برای انجام ارزیابیهای این کنترلها ارائه میکند، زمانی که چنین ارزیابیهایی برای دسترسی برنامهها به دادههای کاربر Google مورد نیاز است. CASA یک روش ارزیابی چند سطحی را برای رسیدگی به تغییرات احتمالی در خطر بر اساس کاربر، دامنه و سایر موارد خاص برنامه اضافه کرده است. اگرچه ما ارزیابی های شخص ثالث را به شدت توصیه می کنیم، اما ابزاری را برای همه شرکت ها فراهم می کنیم تا از طریق یک برنامه خودارزیابی، امنیت خود را بهبود بخشند. اگر واجد شرایط این برنامه هستید، Google مستقیماً برای شروع مراحل بعدی تماس خواهد گرفت.
فواید
ما میخواهیم صنعت را به سمتی سوق دهیم که به کاربران شفافیت و کنترلی را بدهیم که در مورد امنیت دادهها و حریم خصوصی برنامههایی که استفاده میکنند به میان میآید. انجام ارزیابیهای امنیتی برنامههای کاربردی ابری و سرویسهای پشتیبان، آسیبپذیریهای رایج را تا حد زیادی کاهش میدهد، در حالی که اعتماد مصرفکننده به محصولات و خدمات نهایی را افزایش میدهد.
چگونه کار می کند
چارچوب CASA مبنایی برای آزمایش کنترلهای امنیتی فنی برنامههای کاربردی وب با استفاده از استاندارد تأیید امنیت برنامه OWASP (ASVS) فراهم میکند.

چارچوب CASA دستورالعملهای آزمایشی را برای ارزیابی برنامههای وب در چهارده دسته استاندارد تأیید امنیت برنامه 4.0 ارائه میکند.
سطوح ارزیابی امنیتی:
CASA سه سطح ارزیابی را برای برنامه های کاربردی ابری تشخیص می دهد
- ارزیابی های سطح سه، توسعه دهنده را ملزم به تکمیل پرسشنامه خود ارزیابی می کند، که سپس توسط آزمایشگاه مجاز CASA بررسی می شود. این یک بررسی کاغذی از اطلاعات ارائه شده توسط توسعه دهنده است.
- ارزیابی های سطح دو، توسعه دهنده را ملزم به تکمیل پرسشنامه خود ارزیابی می کند، که سپس توسط آزمایشگاه مجاز CASA بررسی می شود. این یک بررسی کاغذی از اطلاعات ارائه شده توسط توسعه دهنده، با اضافه شدن بررسی های پیکربندی است.
- ارزیابی های سطح یک شامل مراحل مرحله دو، به علاوه یک ارزیابی امنیتی کامل توسط آزمایشگاه مجاز CASA است.

ارزیابیها باید الزامات پایه CASA از استاندارد امنیتی OWASP ASVS 4.0 را برآورده کنند. ارزیابیها بهمنظور ممیزیهای جعبه سیاه با محدودیت زمانی از رابطهای قابل دسترسی خارجی هستند و زیرساختهای ابری یا ارتباطات سرور داخلی را شامل نمیشوند. توصیه می شود که توسعه دهندگان ارزیابی های امنیتی را در طول فرآیند توسعه انجام دهند. با این حال، CASA فقط به به روز رسانی سالانه گزارش ارزیابی امنیتی نیاز دارد.
توصیه میشود که توسعهدهندگان تمام کنترلها را در مشخصات ASVS سطح 1 و سطح 2 بررسی و اجرا کنند، با این حال، ADA فقط به زیر مجموعهای از الزامات کامل ASVS نیاز دارد.
شرکای مجاز آزمایشگاه:ارزیابی CASA خود را با تماس با شرکای آزمایشگاهی و ارسال پرسشنامه ارزیابی امنیتی آغاز کنید.