ใช้เครื่องมือสแกนที่ไม่ใช่ CASA ที่กําหนดค่าล่วงหน้า
นักพัฒนาแอปที่ต้องการใช้เครื่องมือสแกน SAST และ DAST (เครื่องมือพัฒนาภายในหรือเชิงพาณิชย์) ต้องให้ข้อมูลต่อไปนี้
- ผลการสแกนเปรียบเทียบกับการเปรียบเทียบ OWASP การคาดการณ์นี้มีไว้เพื่อสแกนเครื่องมือเพื่อตรวจหาช่องโหว่ในเชิงบวกทั้งหมดซึ่งแมปกับ CASA (ดูวิธีการด้านล่าง)
- นโยบายการสแกน โดยอาจเป็นการส่งออกการกําหนดค่าการสแกนเครื่องมือหรือภาพหน้าจอที่แสดงให้เห็นถึงเครื่องมือที่ CWE สแกน
การเปรียบเทียบราคา
คุณต้องติดตั้งสิ่งต่อไปนี้เพื่อเรียกใช้การเปรียบเทียบ
- GIT: https://git-scm.com/ หรือ https://github.com/
- Maven: https://maven.apache.org/; (เวอร์ชัน: 3.2.3 ขึ้นไป)
- Java: https://www.oracle.com/java/technologies/javase-downloads.html (Java 7 หรือ 8) (64 บิต)
อย่าลืมสร้างและส่งตารางสรุปสถิติสําหรับเครื่องมือสแกน DAST หรือ SAST เพื่อจุดประสงค์ของ CASA โปรดทราบว่าการเปรียบเทียบมีการทดสอบจํานวนมาก และอาจใช้เวลาสักพักในการสแกน
เรียกใช้คําสั่งต่อไปนี้เพื่อดาวน์โหลดและเรียกใช้แอปพลิเคชันการเปรียบเทียบ
$ git clone https://github.com/OWASP-Benchmark/BenchmarkJava $ cd benchmark $ mvn compile $ runBenchmark.sh
การเปรียบเทียบจะทํางานที่ https://localhost:8443/chtmark/ ไฟล์นี้จะใช้เป็นเป้าหมายของการสแกน DAST ได้ ตอนนี้คุณสามารถเรียกใช้เครื่องมือที่ต้องการกับซอร์สโค้ดการเปรียบเทียบและแอปพลิเคชันรันไทม์ ตรวจสอบว่าคุณได้บันทึกผลลัพธ์ในไดเรกทอรี /results ของที่เก็บการเปรียบเทียบ
ใส่ข้อมูลต่อไปนี้ในชื่อไฟล์เอาต์พุตสําหรับโปรแกรมสร้างตารางสรุปสถิติ
- หมายเลขเวอร์ชันเปรียบเทียบ เพื่อป้องกันไม่ให้มีการจับคู่เอาต์พุตที่คาดหวังไว้อย่างไม่ถูกต้อง
- ชื่อเครื่องมือสแกน
- เวอร์ชันของเครื่องมือสแกน
ตัวอย่างชื่อไฟล์เอาต์พุตต่อไปนี้จะแมปกับการสแกนที่ใช้ "toolname" เวอร์ชัน 3.0 เมื่อเทียบกับการเปรียบเทียบเวอร์ชัน 1.2
Benchmark_1.2-toolname-v3.0.xml
การสร้างคะแนนเปรียบเทียบ
การเปรียบเทียบคะแนนกับเมตริกทั้ง 4 รายการ ได้แก่
- True Positives – เครื่องมือระบุช่องโหว่ที่แท้จริงได้อย่างถูกต้อง
- คีย์เวิร์ดเชิงลบที่ผิดพลาด - เครื่องมือจะระบุช่องโหว่ไม่ได้จริง
- True true – เครื่องมือจะไม่สนใจการปลุกที่ผิดพลาด
- คีย์เวิร์ดเชิงลบที่ผิด - เครื่องมือไม่สามารถละเว้นสัญญาณเตือนที่ผิดพลาดได้
ตารางสรุปการเปรียบเทียบจะสรุปประสิทธิภาพของเครื่องมือสแกนในมิติข้อมูลเหล่านี้ เมื่อคุณดาวน์โหลดเครื่องมือการเปรียบเทียบจาก GitHub เครื่องมือจะมี BenchmarkScore การเรียกใช้เครื่องมือนี้กับผลการสแกนจะสร้างกราฟ PNG ซึ่งระบุคะแนนขั้นสุดท้าย ดูตัวอย่างผลลัพธ์ได้ที่นี่ หากต้องการสร้างตารางสรุปสถิติเปรียบเทียบของคุณเอง ให้เรียกใช้คําสั่งต่อไปนี้
sh createScorecards.sh
ซึ่งจะสร้างตารางสรุปสถิติสําหรับเอาต์พุตแต่ละรายการภายในไดเรกทอรี /results ตารางสรุปสถิติที่สร้างขึ้นจะบันทึกภายในไดเรกทอรี /scorecard ส่งตารางสรุปสถิติให้เป็นส่วนหนึ่งของการประเมิน CASA