DAST スキャンの自動化

動的スキャンを機能テストに組み込みます。

DevOps の世界では、Web アプリケーションの機能テストのプロセスにセキュリティー・スキャンを組み込む機能の重要性が増しています。自動化フレームワーク (Selenium など) を使用すれば、既に作成済みのスクリプトを利用して、以下のような個別の要件に合ったスキャンを作成できます。
  • 自動化フレームワークから Web アプリケーションへの要求が、プロキシー・サーバーのプロキシーを経由して送信される。
  • サーバーがトラフィックを記録し、それを dast.config ファイルとして保存する。
  • AppScan on Cloud探査データとして使用するファイルをアップロードする。
  • 自動化サーバー・プロキシーを経由してトラフィックを手動で送信し、dast.config ファイルを作成する
1. 自動化されたスキャン・フロー
ASoC 自動化ワークフロー:
  1. 初期設定 (AppScan Presence サーバーごとに 1 回):
    1. AppScan Presence の作成
    2. プレゼンスのプライベート・サイト・サーバー・プロキシーの構成
    3. AppScan Presence を開始します。
    4. (オプション) SSL 警告が出力されないようにルート証明書をインストールします (「HCL AppScan Traffic Recorder の構成」を参照)。
  2. スキャンの実行:
    1. 構成に従い、指定されたポートまたはランダムに選択されたポートでリスンするプロキシーを始動します (「HCL AppScan Traffic Recorder の開始と停止」を参照)。
    2. 選択されたプロキシーを使用して Selenium スクリプト (または他の機能テスト) を実行します。

      または

      選択されたプロキシーを介して機能するように構成された Web ブラウザーを使用して、Web アプリケーションを手動で参照します。

    3. プロキシーを停止して、トラフィックの記録を保存します。
    4. ASoC REST API を使用して ASoC に公開するために、特定のアプリケーションで新しいスキャンを作成します。「REST API」を参照してください。

REST API を使用したこのワークフロー用のデモ・スクリプトをダウンロードできます。デモ・スクリプトをダウンロードします

以下も参照してください。