HCL AppScan Enterprise 中文文檔 10.0.1 步驟 2:測試應用程序以查找漏洞——創建第三方掃描程序
構建自動化用例
AppScan Enterprise 幫助您確保軟件開發生命周期的構建自動化階段的安全性。自動化產品構建測試可以將運行重復測試的時間從幾天縮短至幾小時,并且許多開發團隊會在夜間運行產品構建。
使用第三方掃描程序的團隊可以在掃描程序上啟用移除孤立問題復選框。當掃描程序導入完整掃描結果時,如果再也找不到先前導入的問題,那么會自動將其移除。
注: 與 AppScan Enterprise 中“監視器”視圖內的應用程序關聯的 DAST 掃描也有相同的行為方式。
如果要移除先前在應用程序中找到但在具有相同掃描名稱的后續導入中未包含的問題,請啟用移除孤立問題復選框。啟用該復選框可幫助確保僅報告當前構建的問題。
注: 在該復選框處于啟用狀態時,可能會永久刪除同一掃描名稱和掃描程序的所有問題。如果在后續導入中對同一掃描程序使用同一掃描名稱,那么會永久刪除該掃描程序先前找到但在最新結果中未找到的任何問題。
創建導入 CSV 文件的掃描程序概要文件
掃描程序概要文件用于導入由第三方源(例如 WhiteHat Sentinel 或手動滲透測試)發現的安全性問題(CSV 文件中)。編輯各掃描程序概要文件的問題屬性,以便您能夠隨后將第三方源的問題屬性名稱映射到 AppScan? Enterprise 使用的問題屬性名稱。
過程
在“監視器”視圖的產品服務組合選項卡上,轉至列表菜單 > 編輯掃描程序概要文件模板。
創建或修改概要文件模板。為概要文件提供名稱和描述。
如果要移除先前在應用程序中找到但在后續導入中未包含的問題,請啟用移除孤立問題復選框。
注: 在該復選框處于啟用狀態時,可能會永久刪除同一掃描名稱和掃描程序的所有問題。如果在后續導入中對同一掃描程序使用同一掃描名稱,那么會永久刪除該掃描程序先前找到但在最新結果中未找到的任何問題。
單擊編輯以修改問題屬性:
- 在編輯掃描程序概要信息頁面上,定義第三方掃描程序所用問題屬性名稱與 AppScan? Enterprise 所用問題屬性名稱之間的映射。
- 如果屬性名稱有助于將問題標識為唯一問題,請啟用唯一復選框。如果屬性有助于實現唯一性,那么它必須在 CSV 文件中具有有效值,否則不會導入。
- 如果您想要使用所導入文件中包含的值來更新現有問題屬性,請保持使用導入值復選框處于啟用狀態。如果您取消選中該復選框,那么 AppScan Enterprise 仍將保留先前使用的值。
- 單擊編輯布局以確定問題數據出現在該掃描程序的“關于此問題”報告中的順序,然后單擊確定。
完成模板后,單擊確定。
下一步做什么
從第三方掃描程序導入問題
準備 CSV 文件進行導入
必須正確地配置問題的 CSV 文件以確保問題已成功導入。
過程
在第三方掃描程序中,掃描環境以查找漏洞,然后導出問題的逗號分隔值 (CSV) 文件。
提示:
- 確保 CSV 使用 UTF-8 編碼。
- 如果字段或單元格包含逗號,則必須用雙引號 (“) 將字段或單元格引起來。
檢查 CSV 文件以確定什么問題屬性使問題唯一。請務必真正了解您的數據,以及什么使文件中的各行唯一。
例如,在該 CSV 文件中,端口和名稱組合使問題唯一。
確保 CSV 文件具有映射到 AppScan Enterprise 中的 Issue Type 屬性的列屬性。
這可實現兩個目的:
- 使用問題類型的嚴重性級別;否則,問題將以“信息”嚴重性級別導出導入。
- 幫助確保在“關于此問題”對話框中包含對問題類型的咨詢和修訂建議。
AppScan Enterprise 包含 2 個會導入 CSV 文件的預定義掃描程序概要文件。以下說明它們如何映射到問題類型屬性:
掃描程序概要文件 問題屬性名稱映射 通用 問題類型 Whitehat Sentinel 類 要獲取問題類型的確切名稱,轉至管理 > 問題類型頁面并將確切問題類型名稱復制到 CSV 文件中。例如,“IBM Lotus Domino 跨站點腳本編制”問題類型不同于“IBM Metrica 跨站點腳本編制”問題,并且咨詢和修訂建議對于每種類型可能不同。
推薦文章: