我有一个 Google 表格(编辑器)插件。最近他们要求重新验证我的应用程序,因为它使用的是受限范围(驱动器)。现在我已经更新了代码,并且以某种方式成功地从代码中删除了所有受限范围。然后他们还要求对我的应用程序进行二级安全评估。他们的电子邮件:
您好,Google 开发者,
感谢您在我们审核您提交的项目 my-project-name 时的耐心等待。我们需要您解决以下问题,以便我们继续验证您的应用程序:
您需要在以下日期之前完成您的应用程序的第 2 级安全评估:2024 年 1 月 15 日。每年需要进行一次评估;要了解更多信息,请访问CASA网站。
您有以下选项来完成评估:
1 - 使用开源工具进行第 2 层自我扫描
2 - 使用商业工具进行第 2 层自我扫描
您可以使用任何符合 CASA 扫描要求的兼容 CWE 的应用程序扫描工具。
3 - 2 级授权实验室扫描 或者,我们与 CASA 授权实验室合作,为想要与实验室合作进行评估的开发人员提供低成本的 2 级替代方案。请联系任何 CASA 授权实验室进行评估。
注意:如果您选择通过CASA 授权实验室完成第 2 级评估,则无需在 CASA 门户上启动评估并填写调查问卷。
有用的资源 请参阅以下文档了解更多信息:
重要!解决上述问题后,请直接回复此电子邮件进行确认。您必须在解决突出显示的问题后回复此电子邮件才能继续应用程序验证过程。
需要更改您的验证请求吗?
请直接在 Cloud Console 上进行更改。完成后保存并提交更改。
不再需要访问这些范围?
请回复此电子邮件以取消验证请求。
需要其他帮助吗?
有关 OAuth 验证的更多信息,您可以阅读您的应用程序使用的 API 或产品的条款或政策,以及以下资源:
OAuth 验证常见问题解答链接
谢谢你,
第三方数据安全团队
我试图理解一些事情,但我无法理解所有技术术语。
问题 1:我不知道我是否应该选择 FluidAttacks 免费开源 CLI 或其他。
问题2:就我而言,应该选择上图中的哪个选项?
所以我不需要为这个应用程序进行Casa验证。但这些问题应该得到回答。这些对其他人和我的其他项目都有用。
参考资料:
对于你的第一个问题,我会选择 FluidAttacks 作为我的扫描工具。根据我对 CASA 定义的解释,Google 附加组件属于无服务器旗帜(甚至比 Web 应用程序更重要),因为驱动它们的许多底层基础设施都是由 Google 作为基于云的技术提供的。因此,对于你的第二个问题,通过排除过程,你的扫描类型将是“静态扫描程序” - 它支持无服务器,并且是非自定义 CASA 推荐选项。