DAST スキャンの自動化
動的スキャンを機能テストに組み込みます。
DevOps の世界では、Web アプリケーションの機能テストのプロセスにセキュリティー・スキャンを組み込む機能の重要性が増しています。自動化フレームワーク (Selenium など) を使用すれば、既に作成済みのスクリプトを利用して、以下のような個別の要件に合ったスキャンを作成できます。
- 自動化フレームワークから Web アプリケーションへの要求が、プロキシー・サーバーのプロキシーを経由して送信される。
- サーバーがトラフィックを記録し、それを
dast.config
ファイルとして保存する。 - AppScan 360° が探査データとして使用するファイルをアップロードする。
- 自動化サーバー・プロキシーを経由してトラフィックを手動で送信し、
dast.config
ファイルを作成する
AppScan 360° 自動化ワークフロー:
- スキャンの実行:
- 構成に従い、指定されたポートまたはランダムに選択されたポートでリスンするプロキシーを始動します (「HCL AppScan Traffic Recorder の開始と停止」を参照)。
- 選択されたプロキシーを使用して Selenium スクリプト (または他の機能テスト) を実行します。
または
選択されたプロキシーを介して機能するように構成された Web ブラウザーを使用して、Web アプリケーションを手動で参照します。
- プロキシーを停止して、トラフィックの記録を保存します。
- AppScan 360° REST API を使用して AppScan 360° に公開するために、特定のアプリケーションで新しいスキャンを作成します。「REST API」を参照してください。
REST API を使用したこのワークフロー用のデモ・スクリプトをダウンロードできます。デモ・スクリプトをダウンロードします。
注: AppScan 360° でデモ・スクリプトを使用するには、次を実行します。
- Python スクリプト内の
self.asoc_base_url
変数を AppScan 360° サーバーの URL に置き換えます。 - 変数
self.asoc_presence_id
は、AppScan 360° には使用できません。
以下も参照してください。