使用者定義的報告

您可以建立「業界標準」或「合規性」報告的使用者定義範本。

執行這項作業的原因和時機

AppScan® 報告範本的副檔名是 .asreg。提供的範本儲存在 AppScan 安裝目錄的 \Regulations 資料夾中;您建立的範本應該儲存在 AppScan 的「使用者檔案」資料夾中。

您可以從頭建立全新的範本,再以 .asreg 副檔名來儲存它,或複製現有的檔案,再依照需要進行變更。(下列程序說明如何根據現有的範本來建立範本。)

程序

  1. 開啟 [AppScan Standard 安裝資料夾]\AppScan\Regulations 資料夾,然後複製現有的 .asreg 檔案。
  2. 將檔案貼在您的 AppScan 的「使用者檔案」資料夾中,提供一個新名稱給它。
    註: 依預設,除非您在工具 > 選項 >「喜好設定」標籤 > 檔案位置 >「使用者檔案」資料夾中指定了另一個位置,否則,AppScan 的「使用者檔案」資料夾是 \My Documents\AppScan
  3. 根標籤是 Regulation,含有 format_version 屬性:
    
    <Regulation format_version="2.0">
    
  4. 下一個標籤應該是範本的標題:
    
    <Title>Our Organization's web Application Requirement Compliance Report
    </Title>
    
  5. 利用 Description 標籤輸入法規或標準的說明:
    
    <Description>
     <Subtitle>Sub Section</Subtitle>
     <p>This regulation addresses ...</p>
     <p>It is important because...</p>
     <Subtitle>Sub Section 2</Subtitle>
     <p>This section of the regulation addresses ...</p>
    </Description>
    
  6. 依預設,會有一個 <Disclaimer> 標籤,可確保您不承擔報告內容的法律責任。
  7. 建立法規範本的一或多個需求區段(使用 <Section> 標籤),利用 <Cause>, <Risk>, <ThreatClass>,<CWE> 標籤來定義每個區段有哪些相關的 AppScan 問題。
    • 使用 Section 標籤中的 name 屬性來定義報告的小節標題。
    • 在開啟與關閉 Section 標籤之間,新增下列一或多個標籤:
      • 來自 原因清單<Cause>。原因說明未完成或不正確的配置、遺漏驗證,或類似的狀態。
      • 來自 風險清單<Risk>。每個風險都是「最差案例實務」。
      • 來自 威脅類別清單<ThreatClass>。一個威脅類別是一個測試種類。
      • <CWE> 依號碼。

    範例:

    
    <Section name="My Application login must be secured">
     <Cause>inputLengthNotChecked</Cause>
     <Risk>denialOfService</Risk>
     <Risk>siteDefacement</Risk>
     <CWE>79</CWE>
    </Section>
    
  8. /Regulation 結束標籤來關閉檔案。