テンプレート・ファイルからの新規スキャンの作成

独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードして、ASoC スキャンを実行できます。

始める前に

手順

  1. 「アプリケーション」ページで、「スキャンの作成」をクリックしてウィザードを開き、「DAST」 > 「テンプレート・ファイルのアップロード」を選択します。
  2. ファイルのアップロード: テンプレート (SCANT) ファイルをダイアログにドラッグ・アンド・ドロップするか、クリックしてファイルを選択します。
    注: スキャンの作成中に「介入を許可する」を有効化して、障害発生時にスキャン有効化チームがスキャンを検査できるようにします。デフォルトでは、アップロードされたスキャンまたはテンプレートに対する介入は無効になっています。
    ファイルが開き、構成の開始 URL が「URL」フィールドに入力されます。
  3. ファイルに探査データが含まれる場合は、テスト・ステージのみを実行するか、フル・スキャン (探査ステージとテスト・ステージ) を実行するかのオプションが提示されます。
    • 「フル・スキャンを実行」、または
    • 「テスト・ステージのみを実行」
  4. 探査:

    設定

    オプション(O)

    自動フォーム入力
    ASoC AppScan Standard のデフォルトのフォーム入力パラメーター値を使用して、サイトでフォームの入力および送信を行います。
    重要: 実稼働中のサイトをスキャンする場合は、この機能を無効にすることをお勧めします。詳細については、次を参照してください。 ライブ実動サイトをスキャンするときに、どのような変更を行う必要がありますか?
    注: 自動フォーム入力をオフにして、AppScan on Cloud でスキャンすると、ログイン管理データを除く、フォームに入力されたすべての情報が削除されます。AppScan はスキャン中、自動的にフォームに入力しません。このスキャンを AppScan Standard にインポートすると、自動フォーム入力が有効になりますが、ログイン管理を除くフォーム入力データは空になります。

    タイプ
    自動的に探査する
    AppScan は、開始 URL から自動的に Web アプリケーションをクロールして、テストするページを検出します。このオプションは Web API には関係ありません。次のオプションを使用してください。
    ガイダンスを使用し探査する
    AppScan でテストするために、記録された独自の探査ステージをアップロードします。これは、単独で使用することも、自動探査ステージに追加して使用することもできます。
    2 つの探査タイプについて詳しくは、次を参照してください。 動的分析 (DAST) について

    ガイダンスを使用し探査する

    		 このセクションは、「ガイダンスを使用した探査」を選択した場合にのみアクティブになります。

    記録をアップロードする

    1 つ以上の DAST.CONFIG トラフィック・ファイルをアップロードします。記録方法の詳細については、「トラフィックの記録」を参照してください。Web API の場合、最良のオプションは通常は HCL AppScan Traffic Recorder です。

    ファイル設定

    トラフィック・ファイル内の要求を、記録した特定の順序で送信する必要がある場合は、マルチステップ操作をアクティブ化します。この方法では、スキャンの所要時間が大幅に長くなるため、必要な場合にのみ使用してください。マルチステップ操作と通常のガイダンスを使用した探査の違いについては、「ガイダンスを使用し探査する」を参照してください。

    マルチステップ操作をアクティブ化するには、次の手順を実行します。
    • アップロードされた記録ごとに、ファイル名をクリックし、「マルチステップのアクティブ化」オプションを「オン」に切り替えます。
    記録の使用方法
    全自動の探査ステージに加えて、記録された探査を使用し、すべてをテストする
    ASoC で、独自の自動探査ステージが実行され、アプリケーションが検出されて、検出結果およびアップロードしたトラフィック・ファイルの両方に基づいてテストされます。このオプションは Web API には関係ありません。次のオプションを使用してください。
    記録された探査のみを分析しテストする
    ASoC では、アップロードしたファイルがスキャンの探査ステージとして扱われます。記録されたトラフィックのみを対象に分析とテストの作成が行われ、テストされます。自動の探査ステージはありません。
  5. ネットワーク:

    設定

    オプション(O)

    タイプ
    パブリック (デフォルト)
    サイトがインターネット上で使用可能です。
    プライベート
    サイトがインターネット上で使用不可です。接続されているプレゼンスのリストからプレゼンスを選択します。
    注: AppScan プレゼンス をまだ作成していない場合は、AppScan プレゼンス」ページのリンクをクリックし、「AppScan Presence の作成」を参照してただちに作成できます。
  6. スケジュール:

    設定

    オプション(O)

    すぐにスキャン

    セットアップとレビューが完了するとすぐにスキャンが実行されます。

    後のために保存

    構成は、完了すると保存されます。後でスキャンを実行できます。
    スケジュール
    構成が保存され、1 つ以上のスキャンが構成済みとして実行されます。
    1. 日時を選択する。これらの値はマシンで構成されているタイム・ゾーンに従って入力しますが、ユーザー・インターフェースに表示される時刻は UTC に変換されることに注意してください。
    2. スキャンを複数実行するには、「繰り返し」を選択して、以下を選択します。
      • 毎日: 日単位の間隔 (1 日から 30 日) を選択します
      • 毎週: 曜日を選択します
      • 毎月: 月単位の間隔を選択し、日付 (数値) または曜日 (最初、2 番目、3 番目、4 番目、最後) を選択します。
      注: スケジュール済み時刻になったときに最大数の同時スキャンが実行されている場合は、サブスクリプションで許可されるとすぐにスキャンが開始されます。
    3. 「終了日」(スキャンが実行される最後の日付) を設定するか、「終了日の削除」をクリックしてスケジュールを無期限に実行します。
  7. 「レビューおよびスキャン」をクリックします。
    レビュー時には、スキャンに付けられているデフォルト名を編集できます。また、スキャンを個人スキャンとして実行し、スキャンの完了時に E メール通知を受け取ることも可能です。
  8. 「すぐにスキャン」をクリックします。
  9. 「スキャン」をクリックします。

タスクの結果

新規スキャンとその開始時間が「スキャン」ビューに追加され、進行状況表示バーにスキャンが実行中であることが示されます。スキャンが完了すると、進行状況表示バーが閉じ、結果がグラフに要約され、 (選択した場合には) E メール通知を受け取ります。結果 を参照してください。
注: 無料のプランのスキャンは長さが 4 時間に限定されます。そのため、大規模なサイトや複雑なサイトの場合、無料のプランのスキャンでは完全にカバーできない可能性があります。