Examen à l'aide d'un fichier de spécifications OpenAPI
Vous pouvez utiliser un fichier de spécifications OpenAPI pour examiner automatiquement votre OpenAPI, ce qui offre une meilleure couverture en vous permettant de mettre à jour les paramètres et d'inclure tous les nœuds finaux. Cela garantit un examen plus approfondi et plus précis, ce qui permet d'identifier les problèmes potentiels sur l'ensemble de l'API.
Procédure
- Accédez à Configuration > API.
- Sélectionnez Fichier de spécifications OpenAPI et cliquez sur Ajouter un fichier de spécifications.
-
Saisissez l'URL ou cliquez sur Parcourir pour choisir le fichier sur votre disque local, puis cliquez sur Continuer. AppScan accepte uniquement les formats JSON ou YAML pour le fichier de spécifications.
AppScan analyse les données et les charge dans le tableau des Paramètres supplémentaires.
- Configurez l'adresse URL de base si elle n'est pas renseignée automatiquement.
-
AppScan détecte automatiquement les valeurs des paramètres pendant l'exploration, mais vous pouvez mettre à jour manuellement les paramètres pour de meilleures performances dans les cas où la valeur ne peut pas être détectée automatiquement pendant l'exploration. Modifiez les valeurs des paramètres en les faisant correspondre aux adresses URL pertinentes.
Il est fortement recommandé de mettre à jour les paramètres pour une meilleure couverture de l'examen, ce qui garantit que tous les nœuds finaux sont couverts et évite les échecs de requête.
-
Configurez l'authentification API si nécessaire. En fonction de votre fichier de spécifications, les liens Configurer la clé API ou Configurer l'authentification de base (HTTP) ou les deux s'affichent pour configurer l'authentification. Si les liens ne s'affichent pas, vous pouvez configurer manuellement l'authentification via la clé API, l'Authentification HTTP, ou la Gestion des connexions (enregistrer la connexion ou utilisation de la connexion automatique), ce qui permet de s’assurer que l'examen couvre la plupart des nœuds finaux et d'éviter les échecs de requête.
Si AppScan n'utilise pas les valeurs de paramètre mises à jour, vous pouvez suivre la procédure suivante :
- Cochez la case Appliquer cette valeur à tous les paramètres dans la boîte de dialogue Modifier les paramètres.
- Pour éviter de dépasser les limites de débit lors de l'exploration, réglez le paramètre Taux de demande max. dans l'onglet Communication et proxy.
-
Une fois la configuration terminée, vous pouvez lancer un examen.
AppScan lance un examen automatique.Remarque : Si vous ajoutez un fichier local plutôt qu'une URL à une configuration, vous ne pouvez pas l'exporter en tant que fichier SCANT (modèle), car le fichier de spécifications ne peut pas être inclus dans un modèle. Vous devez supprimer le fichier de spécifications ou l'enregistrer en tant que fichier SCAN.