您能否解释云应用程序安全评估 (CASA) 的第 2 层安全评估的详细步骤或建议视频？

我有一个 Google 表格（编辑器）插件。最近他们要求重新验证我的应用程序，因为它使用的是受限范围（驱动器）。现在我已经更新了代码，并且以某种方式成功地从代码中删除了所有受限范围。然后他们还要求对我的应用程序进行二级安全评估。他们的电子邮件：

您好，Google 开发者，

感谢您在我们审核您提交的项目 my-project-name 时的耐心等待。我们需要您解决以下问题，以便我们继续验证您的应用程序：

您需要在以下日期之前完成您的应用程序的第 2 级安全评估：2024 年 1 月 15 日。每年需要进行一次评估；要了解更多信息，请访问CASA网站。

您有以下选项来完成评估：

1 - 使用开源工具进行第 2 层自我扫描

• 按照CASA Tier 2 程序自行扫描您的申请
• 修复扫描标记的任何高严重性 CWE
• 注册或登录 CASA 门户并启动您的安全评估
• 提交您的扫描结果并在门户网站上填写 CASA 调查问卷
• 在 CASA 门户中接收结果和验证报告
• CASA 门户将自动与 Google 共享验证函

2 - 使用商业工具进行第 2 层自我扫描

• 按照CASA Tier 2 程序使用商业预先批准的工具
自行扫描您的申请
• 修复扫描标记的任何高严重性 CWE
• 注册或登录CASA门户并启动您的安全评估
• 提交您的扫描结果并在门户网站上填写 CASA 调查问卷
• 在 CASA 门户中接收结果和验证报告
• CASA 门户将自动与 Google 共享验证函。

您可以使用任何符合 CASA 扫描要求的兼容 CWE 的应用程序扫描工具。

3 - 2 级授权实验室扫描 或者，我们与 CASA 授权实验室合作，为想要与实验室合作进行评估的开发人员提供低成本的 2 级替代方案。请联系任何 CASA 授权实验室进行评估。

注意：如果您选择通过CASA 授权实验室完成第 2 级评估，则无需在 CASA 门户上启动评估并填写调查问卷。

有用的资源 请参阅以下文档了解更多信息：

• Gmail API 政策
• OAuth API 验证常见问题解答
• CASA网站
• CASA 分层
• 第 2 层流程
• 其他层级流程

重要！解决上述问题后，请直接回复此电子邮件进行确认。您必须在解决突出显示的问题后回复此电子邮件才能继续应用程序验证过程。

需要更改您的验证请求吗？

请直接在 Cloud Console 上进行更改。完成后保存并提交更改。

不再需要访问这些范围？

请回复此电子邮件以取消验证请求。

需要其他帮助吗？

有关 OAuth 验证的更多信息，您可以阅读您的应用程序使用的 API 或产品的条款或政策，以及以下资源：

OAuth 验证常见问题解答链接

谢谢你，

第三方数据安全团队

我试图理解一些事情，但我无法理解所有技术术语。

问题 1：我不知道我是否应该选择 FluidAttacks 免费开源 CLI 或其他。

问题2：就我而言，应该选择上图中的哪个选项？

编辑：我通过电子邮件向他们发送了以下内容。 他们的回复：

所以我不需要为这个应用程序进行Casa验证。但这些问题应该得到回答。这些对其他人和我的其他项目都有用。

参考资料：

1. Google 应用程序脚本发布需要在初始 OAuth 验证后进行 CASA 验证。有什么办法可以避免吗？
2. 我已经验证了 google-api Oauth2，但在下一步中发送了一封电子邮件。第 2 层云应用程序安全评估 (CASA) google API。 这与我的问题相关，但它没有给出我的问题的答案。
3. 选择您的应用程序扫描类型