OWASP Benchmark avec l'agent IAST

Le projet OWASP Benchmark est une suite de tests Java conçue pour évaluer les outils de détection de vulnérabilités logicielles. L'agent Java HCL AppScan IAST est entièrement conforme au OWASP Benchmark.

Procédure

Pour exécuter OWASP Benchmark avec l'agent AppScan IAST Java :
  1. Cloner BenchmarkJava et BenchmarkUtils à partir dehttps://github.com/OWASP-Benchmark .
  2. Ouvrez une invite de commande, accédez au répertoire BenchmarkUtils et exécutez mvn install -DskipTests .
  3. Dans AppScan Enterprise : démarrez une session IAST Java et téléchargez le fichier zip de l'agent comme décrit dans Téléchargement et déploiement d'un agent IAST Java sur le serveur Web.
  4. Extrayez le contenu du fichier zip .
  5. Dans le JAR extrait, localisez secagent.jar dans le dossier jar_deployment et copiez-le dans BenchmarkJava\tools\HCL .
  6. À partir d'une invite de commande, exécutez runBenchmark_wHCL.bat et attendez quelques instants jusqu'à ce que le message « [INFO] Appuyez sur Ctrl-C pour arrêter le conteneur... » s'affiche.
  7. Ouvrez une autre invite de commande et exécutez BenchmarkJava\runCrawler.bat.
  8. Une fois l'analyse terminée, appuyez sur Ctrl+C pour arrêter l'instance Benchmark Tomcat. À la question « Terminer le travail par lots (O/N) ? » , entrez N .
  9. Exécutez BenchmarkJava\createScorecards.bat

    Les résultats des tests peuvent être trouvés dans : Fichiers BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version}

    Figure : Comparaison des résultats OWASP Benchmark v1.2