用于管理应用程序安全的工作流程示例

这些工作流程示例说明了您如何开始管理应用程序:具体取决于您是首次使用 AppScan® Enterprise 还是想要将现有扫描与新应用程序相关联。请选择最适合您的需求的示例,或使用这些示例的某些部分来作为创建您自己的工作流程的起点。

创建应用程序和扫描

如果您是 AppScan Enterprise 的新用户或当前用户,并且决定不迁移现有扫描,那么可以创建新应用程序和新扫描。

过程

  1. 设置应用程序概要信息。
    1. 删除与贵组织不相关的预定义属性。
    2. 创建用于描述应用程序的属性。
  2. 创建用于定义风险的公式。
    1. 验证预定义公式是否与贵组织相关。
    2. 创建可反映您对业务风险的解释的公式。
  3. 创建应用程序。如果您已在 .csv 文件中跟踪应用程序,请将其导入。
  4. 向用户分配应用程序的许可权。
  5. 为应用程序创建扫描,或者从第三方扫描程序导入问题。
  6. 对应用程序的问题执行问题筛选。
  7. 解决所发现的安全性问题。
  8. 评估应用程序的安全性风险。

将现有扫描迁移到“应用程序”视图中

此迁移过程为您提供机会来执行一些维护并移除任何不需要的扫描。如果您是 AppScan® Enterprise 客户,那么可以按业务单位、应用程序或者甚至按地理位置对“文件夹浏览器”视图中的扫描和文件夹进行组织。此类型的结构使您能更容易地使用“监视器”视图,因为所有相关扫描都已通过逻辑方式进行分组。

关于此任务

理解应用程序与文件夹在结构上无关,这一点很重要;您不是在文件夹创建应用程序。您使用分组在文件夹中的扫描来作为在“监视器”视图中创建应用程序的起点。

过程

  1. 通过对“文件夹资源管理器”视图中的各文件夹执行以下步骤来获得现有扫描和文件夹结构的清单:
    1. 查看每个扫描以确保您拥有对应用程序的完全覆盖。
    2. 删除不再相关的扫描。
    3. 识别未覆盖的 Web 站点区域,以便能够创建扫描。
  2. 设置应用程序概要信息。
    1. 删除与贵组织不相关的预定义属性。
    2. 创建用于描述应用程序的属性。
  3. 创建用于定义风险的公式。
    1. 验证预定义公式是否与贵组织相关。
    2. 创建可反映您对业务风险的解释的公式。
  4. 导出应用程序列表。导出的 CSV 文件包含一行应用程序属性列标题。将应用程序详细信息添加到此文件,以便能够在导入此文件时一次创建多个应用程序。
  5. 导入此 .csv 文件。
  6. 为第一个文件夹创建一个应用程序。
  7. 可通过选择并添加多个扫描作业来将现有多个扫描与应用程序关联。该方法可避免逐个关联扫描的工作(特别当您有很多扫描要处理时)。
    提示: 考虑平铺层次结构以查看所有扫描。如果层次结构中有许多扫描,那么性能可能会受影响。
  8. 对每个应用程序,均编辑其特定属性,并考虑业务影响。如果您不知道每个属性的所有信息,请予以记录并在以后回来再处理。
  9. 向各应用程序提供用户访问控制。