IAST エージェントを使用した OWASP ベンチマーク
OWASP ベンチマーク・プロジェクトは、ソフトウェアの脆弱性検出ツールを評価するように設計された Java テスト・スイートです。HCL AppScan IAST Java エージェントは、OWASP ベンチマークに完全に準拠しています。
手順
AppScan IAST Java エージェントで OWASP ベンチマークを実行するには、次のようにします。
- https://github.com/OWASP-Benchmarkから、BenchmarkJava と BenchmarkUtils をダウンロードするか、Git クローンを作成します。
-
コマンド・プロンプトを開き、 cd で BenchmarkUtils ディレクトリーに移動し、
mvn install -DskipTests
を実行します。 - AppScan Enterprise の場合: Java IAST エージェントのダウンロードと Web サーバーへのデプロイで説明するとおり、IAST Java セッションを開始し、エージェント zip をダウンロードします。
- ZIP ファイルのコンテンツを抽出します。
-
抽出した JAR の
jar_deployment
フォルダーでsecagent.jar
を見つけ、BenchmarkJava\tools\HCL
にコピーします。 -
コマンド・プロンプトを開き、
runBenchmark_wHCL.bat
を実行し、「[情報] コンテナを停止するには Ctrl-C を押してください...」
というメッセージが表示されるまで待ちます。 -
別のコマンド・プロンプトを開き、
BenchmarkJava\runCrawler.bat
を実行します。 -
クロールが完了したら、 CTRL + C キー を押して、Benchmark Tomcat インスタンスを停止します。
「バッチ・ジョブを終了しますか (Y/N)?」
と聞かれた場合、 N を入力します。 -
BenchmarkJava\createScorecards.bat
を実行しますテスト結果は
BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} ファイル
にあります。図: OWASP Benchmark v1.2 結果の比較