แนวทางการทดสอบเครื่องมืออื่นๆ

ใช้เครื่องมือสแกนที่ไม่ใช่ CASA ที่กําหนดค่าล่วงหน้า

นักพัฒนาแอปที่ต้องการใช้เครื่องมือสแกน SAST และ DAST (เครื่องมือพัฒนาภายในหรือเชิงพาณิชย์) ต้องให้ข้อมูลต่อไปนี้

  • ผลการสแกนเปรียบเทียบกับการเปรียบเทียบ OWASP การคาดการณ์นี้มีไว้เพื่อสแกนเครื่องมือเพื่อตรวจหาช่องโหว่ในเชิงบวกทั้งหมดซึ่งแมปกับ CASA (ดูวิธีการด้านล่าง)
  • นโยบายการสแกน โดยอาจเป็นการส่งออกการกําหนดค่าการสแกนเครื่องมือหรือภาพหน้าจอที่แสดงให้เห็นถึงเครื่องมือที่ CWE สแกน 

การเปรียบเทียบราคา

คุณต้องติดตั้งสิ่งต่อไปนี้เพื่อเรียกใช้การเปรียบเทียบ

  1. GIT: https://git-scm.com/ หรือ https://github.com/
  2. Maven: https://maven.apache.org/; (เวอร์ชัน: 3.2.3 ขึ้นไป)
  3. Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 หรือ 8) (64 บิต)

อย่าลืมสร้างและส่งตารางสรุปสถิติสําหรับเครื่องมือสแกน DAST หรือ SAST เพื่อจุดประสงค์ของ CASA โปรดทราบว่าการเปรียบเทียบมีการทดสอบจํานวนมาก และอาจใช้เวลาสักพักในการสแกน 

เรียกใช้คําสั่งต่อไปนี้เพื่อดาวน์โหลดและเรียกใช้แอปพลิเคชันการเปรียบเทียบ 

$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava
    $ cd benchmark
    $ mvn compile
    $ runBenchmark.sh

การเปรียบเทียบจะทํางานที่ https://localhost:8443/chtmark/ ไฟล์นี้จะใช้เป็นเป้าหมายของการสแกน DAST ได้ ตอนนี้คุณสามารถเรียกใช้เครื่องมือที่ต้องการกับซอร์สโค้ดการเปรียบเทียบและแอปพลิเคชันรันไทม์ ตรวจสอบว่าคุณได้บันทึกผลลัพธ์ในไดเรกทอรี /results ของที่เก็บการเปรียบเทียบ 

ใส่ข้อมูลต่อไปนี้ในชื่อไฟล์เอาต์พุตสําหรับโปรแกรมสร้างตารางสรุปสถิติ

  1. หมายเลขเวอร์ชันเปรียบเทียบ เพื่อป้องกันไม่ให้มีการจับคู่เอาต์พุตที่คาดหวังไว้อย่างไม่ถูกต้อง
  2. ชื่อเครื่องมือสแกน
  3. เวอร์ชันของเครื่องมือสแกน

ตัวอย่างชื่อไฟล์เอาต์พุตต่อไปนี้จะแมปกับการสแกนที่ใช้ "toolname" เวอร์ชัน 3.0 เมื่อเทียบกับการเปรียบเทียบเวอร์ชัน 1.2  

Benchmark_1.2-toolname-v3.0.xml

การสร้างคะแนนเปรียบเทียบ

การเปรียบเทียบคะแนนกับเมตริกทั้ง 4 รายการ ได้แก่

  1. True Positives – เครื่องมือระบุช่องโหว่ที่แท้จริงได้อย่างถูกต้อง
  2. คีย์เวิร์ดเชิงลบที่ผิดพลาด - เครื่องมือจะระบุช่องโหว่ไม่ได้จริง
  3. True true – เครื่องมือจะไม่สนใจการปลุกที่ผิดพลาด
  4. คีย์เวิร์ดเชิงลบที่ผิด - เครื่องมือไม่สามารถละเว้นสัญญาณเตือนที่ผิดพลาดได้

ตารางสรุปการเปรียบเทียบจะสรุปประสิทธิภาพของเครื่องมือสแกนในมิติข้อมูลเหล่านี้ เมื่อคุณดาวน์โหลดเครื่องมือการเปรียบเทียบจาก GitHub เครื่องมือจะมี BenchmarkScore การเรียกใช้เครื่องมือนี้กับผลการสแกนจะสร้างกราฟ PNG ซึ่งระบุคะแนนขั้นสุดท้าย ดูตัวอย่างผลลัพธ์ได้ที่นี่ หากต้องการสร้างตารางสรุปสถิติเปรียบเทียบของคุณเอง ให้เรียกใช้คําสั่งต่อไปนี้ 

sh createScorecards.sh

ซึ่งจะสร้างตารางสรุปสถิติสําหรับเอาต์พุตแต่ละรายการภายในไดเรกทอรี /results ตารางสรุปสถิติที่สร้างขึ้นจะบันทึกภายในไดเรกทอรี /scorecard ส่งตารางสรุปสถิติให้เป็นส่วนหนึ่งของการประเมิน CASA