您可以为“行业标准”报告或“合规性”报告创建用户定义的模板。
关于此任务
AppScan® 报告模板具有 .asreg 文件扩展名。提供的模板存储在 AppScan 安装目录的 \Regulations 文件夹中;您创建的模板应该存储在“AppScan 用户文件”文件夹中。
可以从头开始创建新的模板并使用 .asreg 扩展名将其保存,或复制现有文件并按照需要做出更改。(以下过程会描述基于现有模板创建模板的情况。)
过程
-
打开 [AppScan Standard 安装文件夹]\AppScan\Regulations 文件夹,然后复制现有 .asreg 文件。
- 将该文件粘贴到“AppScan 用户文件”文件夹,并为该文件提供一个新名称。
注: 除非在工具 > 选项 >“首选项”选项卡 > 文件位置 > 用户文件夹中指定了其他位置,否则缺省情况下 AppScan 用户文件夹为 \My Documents\AppScan。
-
根标记是 Regulation,带有 format_version 的属性:
<Regulation format_version="2.0">
-
下一个标记应该是模板的标题:
<Title>Our Organization's web Application Requirement Compliance Report
</Title>
-
使用 Description 标记输入规则或标准的描述:
<Description>
<Subtitle>Sub Section</Subtitle>
<p>This regulation addresses ...</p>
<p>It is important because...</p>
<Subtitle>Sub Section 2</Subtitle>
<p>This section of the regulation addresses ...</p>
</Description>
-
缺省情况下,有一个
<Disclaimer> 标记,它可确保您对报告的内容不承担法律责任。
-
为规则模板创建一个或多个需求部分(使用
<Section> 标记),并使用 <Cause>, <Risk>, <ThreatClass>, 和 <CWE> 标记定义对于每个部分哪些 AppScan 问题是相关的。
- 使用
Section 标记中的 name 属性来定义报告的部分标题。
- 在起始和结束
Section 标记之间,添加以下一项或多项:
- 来自 原因列表 的
<Cause>。原因会描述不完整或不正确的配置、缺少的验证或类似的状态。
- 来自 风险列表 的
<Risk>。每个风险都是一个“最差案例方案”。
- 来自 威胁类列表 的
<ThreatClass>。威胁类是测试的类别。
<CWE> 按编号。
示例:
<Section name="My Application login must be secured">
<Cause>inputLengthNotChecked</Cause>
<Risk>denialOfService</Risk>
<Risk>siteDefacement</Risk>
<CWE>79</CWE>
</Section>
-
关闭具有 </Regulation> 结尾标记的文件。
Help Center