配置 AI 设置

将 AppScan Enterprise 与 Microsoft Azure OpenAI 服务集成,以启用智能发现分析 (IFA) 并提高扫描结果的准确性。

开始之前

在开始之前,请确保满足以下要求:

  • 您必须在 AppScan Enterprise 中拥有管理权限。
  • 您必须从活跃的 Microsoft Azure OpenAI 帐户中获得以下信息:
    • 您的 Azure OpenAI 资源名称。
    • 您的模型部署名称。
    • API 密钥(来自 Azure 门户中资源的“密钥和终端点”部分的 KEY1 或 KEY2)。
  • 在 AppScan Standard 和 AppScan Enterprise 安装在同一主机机器上的部署场景中,AI 配置设置是共享的。当在一个产品(例如,AppScan Standard)中启用 AI 配置时,它将自动被识别并应用于由另一个产品(例如,AppScan Enterprise)执行的扫描,反之亦然。

关于此任务

此功能为动态应用程序安全测试 (DAST) 启用智能发现分析 (IFA)。通过集成生成式 AI,扫描器可以更准确地确认应用程序错误页面并处理边缘情况,从而减少误报并提高扫描结果的整体精度。

这是所有扫描的系统范围设置。配置这些设置后,您无法在扫描运行时禁用此功能。

重要:
这项功能已使用 Azure OpenAI 模型 GPT-4o(版本:2024-05-13)进行测试。我们强烈建议您使用此特定模型和版本以确保最佳性能。
Cost:
使用 Azure OpenAI 服务会根据令牌使用情况产生费用。请定期监控您的 Azure 帐户以确保成本效益。
Rate limiting:
在扫描期间,会向 Azure OpenAI 服务发送大量请求。如果这些请求超出您的 Azure 服务配额,Azure 可能会暂时限制(速率限制)连接。这是预期的行为,相关消息可能会出现在扫描日志中。如果请求频繁受到限制,扫描可能无法对所有分析使用 AI 功能,这可能会影响最终的扫描结果。
Validation rules:

您输入的值必须符合以下标准:

Endpoint:

  • 必须是以 https:// 开头的有效 URL。
  • 必须在 20 到 255 个字符之间。

API Key:

  • 必须是字母数字(仅限字母和数字)。
  • 必须在 30 到 255 个字符之间。

过程

  1. 导航到 <uicontrol>Administration</uicontrol> 视图。
  2. 在左侧导航窗格中,单击 <uicontrol>General Settings</uicontrol>。
  3. <uicontrol>AI Settings</uicontrol> 部分,单击 <uicontrol>Manage</uicontrol>。
    <menucascade><uicontrol>Configure AI Settings</uicontrol></menucascade> 页面打开。
  4. <uicontrol>Endpoint</uicontrol> 字段中,输入您的 Azure OpenAI 服务的 URL。

    URL 必须采用以下格式:

    https://{your-resource-name}.openai.azure.com/openai/deployments/{your-deployment-name}/chat/completions
  5. <uicontrol>API key</uicontrol> 字段中,输入您的 API 密钥。
  6. 单击完成

结果

AppScan Enterprise 现在已配置为使用 Azure OpenAI 服务。如果提供的 Endpoint 或 API 密钥无效或已过期,扫描将完成;然而,错误页面检测将被跳过。