AppScan Enterprise からのスキャン・プロパティーを使用したクイック・スキャン・テンプレートの作成
クイック・スキャン・テンプレートは、コンテンツ・スキャン・ジョブ、またはインポート・ジョブとレポート・パックから構成されます。フォルダー・リスト内の「テンプレート」フォルダーにスキャン・テンプレートを作成すると、それらは自動的に、クイック・スキャン・ユーザーや、「フォルダー・エクスプローラーの表示」リストでクイック・スキャン・ビューをオンにしているさらに上級のユーザーが、スキャン・テンプレートとして使用できるようになります。クイック・スキャン・ユーザーがスキャンを作成すると、テンプレートに基づいてジョブとレポート・パックが作成されますが、それらはクイック・スキャン・ユーザーにはスキャンとしてのみ表示されます。
このタスクについて
v9.0.1.1 以前では、AppScan Enterprise のジョブ・オプションに基づいて、セキュリティー・チームが開発者のためにクイック・スキャン・テンプレートを作成していました。この方式では、アナリストがクイック・スキャン・テンプレートを開発者ごとにカスタマイズできましたが、組織全体でスキャン構成と結果の不整合が生じることがよくありました。これは、一部の開発者が他の開発者よりも多くのスキャン構成オプションにアクセスできるためです。
v9.0.2 以降では、一貫したスキャン構成と結果が得られるスキャン・テンプレートを開発者のために作成できます。この新方式では、セキュリティーに関してあまり知識がないことが多い開発者の構成作業が改善され、アクション・ベースのログインとマニュアル探査が可能になります。AppScan Standard からのスキャン・プロパティーを使用したクイック・スキャン・テンプレートの作成を参照してください。
手順
- フォルダー・リストの「テンプレート」フォルダーに移動して、メイン・コンテンツ・ペインで「作成」アイコン () をクリックします。注: 特定のユーザー・グループが使用できるテンプレートを制限することができます。それには、テンプレート・フォルダー内にサブフォルダーを作成し、各サブフォルダーに特定のユーザー・ロールを割り当てます。
- 製品管理者 - テンプレートを作成/編集/削除できます。
- レポート利用者/問題マネージャー - テンプレートを使用できます。
- レポート管理者 - テンプレート内のレポート・パックを編集できます。
- ジョブ管理者 - テンプレートを作成/編集/削除できます。
- クイック・スキャン・ユーザー - アクセスを許可されているテンプレートのみ使用できます。
- アクセス権限なし - アクセス権限がありません。
- 「フォルダー項目の作成」ページで、テンプレートで作成するジョブのタイプ(コンテンツ・スキャン・ジョブまたはインポート・ジョブ) を選択します。
- テンプレートの「名前」および「説明」(オプション) を入力します。名前はできるだけ意味のあるものにします。例えば、マニュアル探査スキャンを作成している場合は、テンプレートにマニュアル探査スキャン という名前を付けます。
- レポート・パックの生成方法を選択します。デフォルトで、「レポート・パックの自動作成」チェック・ボックスが選択されます。ジョブと同じ名前を持つレポート・パックが作成され、ジョブのプロパティーに基づいてデフォルトのレポート・セットも自動的に作成されます。
- 「作成方法」を選択します。
- 組み込み設定でジョブを作成するには、デフォルト・プロパティーを使用します。
- 類似のジョブをエクスポートしており、これを新しいジョブのベースとして使用する場合は、設定ファイルを使用します。設定ファイルは、ジョブのプロパティーをエクスポートすることにより作成されます。
- ジョブを作成するには「作成」をクリックします。スキャン・テンプレートの最初のプロパティー・ページが開かれ、続けてプロパティーを構成することができます。
- 「ログイン管理」ページで、クイック・スキャン・ユーザーがこのテンプレートで使用する方法を選択します。注:
- 記録済み: 使用するスキャンのログイン手順を記録します。スキャンによりログインが自動的に実行され、クイック・スキャン・ユーザーはその後にマニュアル探査を実行することができます。
- 自動: ユーザー名とパスワードの各フィールドを識別する正規表現を構成します。クイック・スキャン・ヒューリスティックでは、これらの式を使用してログイン・ページを識別します。クイック・スキャン・ユーザーは、このテンプレートでは固有のユーザー名またはパスワードを使用できません。自動ログイン・コントロールを組み込むには、「ログイン管理」ページで選択するログイン方法が「Automatic Login」または「None」でなければなりません。
- なし: クイック・スキャン・ユーザーはスキャンの設定中にログイン管理を構成します。
- スキャンのプロパティーの構成を続行します。終了した場合は、「テンプレート構成」をクリックします。
- 「テンプレート構成」ページで、テンプレートに追加するクイック・スキャン・コントロールを選択します。注: セッション内検出がオンである場合、セッション内検出コントロールをテンプレートに組み込んで、必要な場合にはクイック・スキャン・ユーザーがセッション内パターンを編集できるようにしなければなりません。
- スキャンで使用する探査方法のタイプ (開始 URL、マニュアル探査、または Web Services Explore) を選択します。注: ユーザーは、開始 URL オプションを使用して、アプリケーションを手動で探査することはできません。「マニュアル探査」オプションは、URL の探査のため、最も広範な有効範囲を提供します。
- クイック・スキャン・ユーザーに「詳細スキャン構成」ページへのアクセスを許可することで、上級者にはより柔軟性を提供し、初心者のユーザーに対しては制限をかけることができます。
注: ユーザーが変更できる一部のスキャン・オプションに関して制限があります。詳しくは、クイック・スキャン・ユーザーを参照してください。
- 「保存」をクリックします。
注: テンプレートを名前変更すると、対応するレポート・パックが自動的に名前変更されます。