使用 AppScan Enterprise 中的扫描属性配置安全扫描
应在预生产环境中(如登台服务器或“质量保证”服务器上)执行安全扫描。这样做有助于包含与执行安全扫描相关联的风险。预生成环境应该尽可能反映生产环境;应用程序在两个环境中应该具有相同的可执行文件,以便您知道在彻底测试暴露的应用程序。安全扫描还应该集成到软件开发生命周期 (SDLC) 过程中,以便可以在安全问题进入生产环境之前将其捕获。
开始之前
- 确保应用程序在开发或测试环境中。
- 与应用程序的所有者(开发者或 QA)建立时间窗口以扫描应用程序。在用 AppScan® Enterprise Server 对应用程序扫描的时间段内,应用程序必须已启动并保持平稳运行状态。在扫描期间不应对应用程序进行任何更改。
- 在最前面决定要执行手动探索还是自动搜索:
- 手动探索意味着您将在配置中指示要测试的扫描的准确 URL(扫描将不会自动搜索发现新的 URL)。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域,请使用该方法。
- 自动搜寻意味着会为您配置扫描来自动发现要在 Web 应用程序中测试的更多 URL。对于具有许多静态链接并不需要大量用户交互的应用程序,请使用此方法。