简介
CAST AIP的每个版本都提供了一个默认的评估模型,其中包含一组用于测量和限定应用的质量规则和测量标准。这个默认的评估模型包含以下配置:
- CWE Top-25
- CISQ-22 CWEs
- OWASP Top-10
- PCI DSS
- FDA 21 CFR
- Mobile App Assessment
- Web App Assessment
- Microservice Assessment
- Embedded Software Assessment
此评估模型可在CAST Management Studio > Assessment Models view中查看——请参见下图(单击放大)。虽然这个默认的评估模型对于大多数使用案例来讲是满足的,但是可以根据需求对其进行自定义。
例如可以创建一个只触发CWE(常见缺陷枚举)质量规则的评估模型(单击放大):
自定义评估模型
在CAST 管理器应用中执行自定义:
准备
创建新的评估模型
CAST建议创建一个新的评估模型,然后使用以下方法进行自定义:
新的评估模型选项将基于由CAST AIP提供的默认评估模型和来自可能安装的所有插件评估模型片段创建评估模型。
Expert mode
确保在Expert mode下工作:
停用现有项目
如果不需要具体的质量规则、测量等。(即应用不包含特定的目标技术),然后可以停用,以防止在分析/快照期间触发。这是一个临时的操作,即可以在快照之间轻松快速的更改:
请注意停用业务或技术标准还将禁用任何子项目,如质量规则或测量。
自定义顶级项
如果不想在新的评估模型中使用所有现有的默认业务或技术标准,可以创建自己的评估模型:
对于创建的每个顶级项目,将需要定义(在其它内容中):
- 等级贡献者(仅适用于业务标准)——任何有助于业务标准的技术标准
- 等级影响因素(业务和技术标准)——对所选项目有影响的子项目(技术标准、质量规则、质量分布或质量测量)
- 对于业务标准,选择类型>健康因子或规则遵从性
还可以通过删除或添加子项目来自定义现有的顶层项目(在下面的示例中,正在编辑默认的可更改性业务标准(Health Factor)):
