DAST スキャンの自動化

動的スキャンを機能テストに組み込みます。

DevOps の世界では、Web アプリケーションの機能テストのプロセスにセキュリティー・スキャンを組み込む機能の重要性が増しています。自動化フレームワーク (Selenium など) を使用すれば、既に作成済みのスクリプトを利用して、以下のような個別の要件に合ったスキャンを作成できます。
  • 自動化フレームワークから Web アプリケーションへの要求が、プロキシー・サーバーのプロキシーを経由して送信される。
  • サーバーがトラフィックを記録し、それを dast.config ファイルとして保存する。
  • .config ファイルをアップロードし、それが Application Security on Cloud でスキャン用の探査データとして使用されるようにする。
  • 自動化サーバー・プロキシーを経由してトラフィックを手動で送信し、dast.config ファイルを作成する
1. 自動化されたスキャン・フロー
ASoC 自動化ワークフロー:
  1. 初期設定 (AppScan Presence サーバーごとに 1 回):
    1. AppScan Presence の作成
    2. プレゼンスのプライベート・サイト・サーバー・プロキシーの構成
    3. AppScan Presence を開始します。
    4. (オプション) SSL 警告が出力されないようにルート証明書をインストールします (「HCL AppScan Traffic Recorder の構成」を参照)。
  2. スキャンの実行:
    1. 構成に従い、指定されたポートまたはランダムに選択されたポートでリスンするプロキシーを始動します (「HCL AppScan Traffic Recorder の開始と停止」を参照)。
    2. 選択されたプロキシーを使用して Selenium スクリプト (または他の機能テスト) を実行します。

      または

      選択されたプロキシーを介して機能するように構成された Web ブラウザーを使用して、Web アプリケーションを手動で参照します。

    3. プロキシーを停止して、トラフィックの記録を保存します。
    4. ASoC REST API を使用して ASoC に公開するために、特定のアプリケーションで新しいスキャンを作成します。REST API を参照してください。

REST API を使用したこのワークフロー用のデモ・スクリプトをダウンロードします。デモ・スクリプトをダウンロードします

以下も参照してください。