您可以建立「業界標準」或「合規性」報告的使用者定義範本。
執行這項作業的原因和時機
AppScan® 報告範本的副檔名是 .asreg。提供的範本儲存在 AppScan 安裝目錄的 \Regulations 資料夾中;您建立的範本應該儲存在 AppScan 的「使用者檔案」資料夾中。
您可以從頭建立全新的範本,再以 .asreg 副檔名來儲存它,或複製現有的檔案,再依照需要進行變更。(下列程序說明如何根據現有的範本來建立範本。)
程序
-
開啟 [AppScan Standard 安裝資料夾]\AppScan\Regulations 資料夾,然後複製現有的 .asreg 檔案。
- 將檔案貼在您的 AppScan 的「使用者檔案」資料夾中,提供一個新名稱給它。
註: 依預設,除非您在工具 > 選項 >「喜好設定」標籤 > 檔案位置 >「使用者檔案」資料夾中指定了另一個位置,否則,AppScan 的「使用者檔案」資料夾是 \My Documents\AppScan
。
-
根標籤是 Regulation,含有 format_version 屬性:
<Regulation format_version="2.0">
-
下一個標籤應該是範本的標題:
<Title>Our Organization's web Application Requirement Compliance Report
</Title>
-
利用 Description 標籤輸入法規或標準的說明:
<Description>
<Subtitle>Sub Section</Subtitle>
<p>This regulation addresses ...</p>
<p>It is important because...</p>
<Subtitle>Sub Section 2</Subtitle>
<p>This section of the regulation addresses ...</p>
</Description>
-
依預設,會有一個
<Disclaimer>
標籤,可確保您不承擔報告內容的法律責任。
-
建立法規範本的一或多個需求區段(使用
<Section>
標籤),利用 <Cause>, <Risk>, <ThreatClass>,
和 <CWE>
標籤來定義每個區段有哪些相關的 AppScan 問題。
- 使用
Section
標籤中的 name
屬性來定義報告的小節標題。
- 在開啟與關閉
Section
標籤之間,新增下列一或多個標籤:
- 來自 原因清單 的
<Cause>
。原因說明未完成或不正確的配置、遺漏驗證,或類似的狀態。
- 來自 風險清單 的
<Risk>
。每個風險都是「最差案例實務」。
- 來自 威脅類別清單 的
<ThreatClass>
。一個威脅類別是一個測試種類。
<CWE>
依號碼。
範例:
<Section name="My Application login must be secured">
<Cause>inputLengthNotChecked</Cause>
<Risk>denialOfService</Risk>
<Risk>siteDefacement</Risk>
<CWE>79</CWE>
</Section>
-
以 /Regulation 結束標籤來關閉檔案。