DAST スキャンの自動化

動的スキャンを機能テストに組み込みます。

DevOps の世界では、Web アプリケーションの機能テストのプロセスにセキュリティー・スキャンを組み込む機能の重要性が増しています。自動化フレームワーク (Selenium など) を使用すれば、既に作成済みのスクリプトを利用して、以下のような個別の要件に合ったスキャンを作成できます。
  • 自動化フレームワークから Web アプリケーションへの要求が、プロキシー・サーバーのプロキシーを経由して送信される。
  • サーバーがトラフィックを記録し、それを dast.config ファイルとして保存する。
  • そのファイルをアップロードし、それを AppScan 360° がスキャン用の探査データとして使用できるようにする。 AppScan 360° は、ファイルのアップロードを 2GB に制限します。
  • 自動化サーバー・プロキシーを経由してトラフィックを手動で送信し、dast.config ファイルを作成する

AppScan 360° 自動化ワークフロー:
  1. スキャンの実行:
    1. 構成に従い、指定されたポートまたはランダムに選択されたポートでリスンするプロキシーを始動します (「HCL AppScan Traffic Recorder の開始と停止」を参照)。
    2. 選択されたプロキシーを使用して Selenium スクリプト (または他の機能テスト) を実行します。

      または

      選択されたプロキシーを介して機能するように構成された Web ブラウザーを使用して、Web アプリケーションを手動で参照します。

    3. プロキシーを停止して、トラフィックの記録を保存します。
    4. AppScan 360° REST API を使用して AppScan 360° に公開するために、特定のアプリケーションで新しいスキャンを作成します。「REST API」を参照してください。
REST API を使用したこのワークフローに関しては、デモ・スクリプトをダウンロードできます。デモ・スクリプトをダウンロードします
注: AppScan 360° でデモ・スクリプトを使用するには:
  • Python スクリプトで、self.asoc_base_url 変数を AppScan 360° サーバーの URL に置き換えます。
  • 変数 self.asoc_presence_idAppScan 360° に適用できません。
以下も参照してください。