主页
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 2：测试应用程序以查找漏洞
了解如何在应用程序中测试识别的漏洞。
创建扫描的场景
这些场景的目标是开发人员和安全团队。选择与您的情况最准确匹配的用户角色。
开发人员
开发人员团队使用不同的方法以及 AppScan 中的用户界面创建扫描模板。
从模板创建扫描
根据安全团队用于创建扫描模板的方法，您可以使用 AppScan Dynamic Analysis Client 或 AppScan Enterprise 接口来创建扫描。这些主题描述了您可能需要的每个任务。
使用 GraphQL 模板创建扫描
在 AppScan Enterprise 10.1.0 发行版中，引入了 GraphQL 模板，用于扫描包含 GraphQL 查询的 API。在引入该模板的此初始版本中，功能仅限用于包含 GraphQL 查询的 API，而不适用于 Web 应用程序。
使用外部工具和代理端口使用 ADAC 客户端记录 API
通过使用外部工具和代理端口使用 ADAC 客户端记录 API 来创建 GraphQL 扫描。

管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
  - 从内部扫描程序或第三方扫描程序导入问题
    了解如何从内部扫描程序和第三方扫描程序导入问题。
  - 创建扫描的场景
    这些场景的目标是开发人员和安全团队。选择与您的情况最准确匹配的用户角色。
    - v9.0.2 和更高版本和先前版本中的扫描配置差异概述
      安全团队（其成员具有管理员特权）通过使用他们在 AppScan Standard 中制作的扫描配置来创建模板。然后，扫描模板文件可用于 AppScan Enterprise 中。开发人员（具有 QuickScan 用户特权）在创建扫描时选取模板，并使用新的 AppScan Dynamic Analysis Client 中的向导来完成扫描创建。当他们需要修订扫描配置时，使用相同的客户机。
    - 开发人员
      开发人员团队使用不同的方法以及 AppScan 中的用户界面创建扫描模板。
      - 从模板创建扫描
        根据安全团队用于创建扫描模板的方法，您可以使用 AppScan Dynamic Analysis Client 或 AppScan Enterprise 接口来创建扫描。这些主题描述了您可能需要的每个任务。
        扫描模板的类型
        以下是 AppScan Enterprise 中的可用扫描模板。安全团队还可能创建特定于您的组织的模板。
        使用 AppScan Standard 扫描属性根据模板创建扫描
        创建使用模板（基于 AppScan Standard 中的扫描配置选项）的扫描。一个易于使用的向导 (AppScan Dynamic Analysis Client) 将带领您完成扫描配置选项，包括基于操作的登录和手动探索功能。
        使用 AppScan Enterprise 扫描属性根据模板创建扫描
        QuickScan 使用管理员所创建的扫描模板中设置的参数在站点中进行搜索以发现其内容。扫描收集数据后，此数据将存储在数据库中，由报告引擎进行分析，并且您可以通过报告包（报告的集合）使用此数据。大多数数据分析任务都将把焦点放在这些报告提供的数据上。
        使用 GraphQL 模板创建扫描
        在 AppScan Enterprise 10.1.0 发行版中，引入了 GraphQL 模板，用于扫描包含 GraphQL 查询的 API。在引入该模板的此初始版本中，功能仅限用于包含 GraphQL 查询的 API，而不适用于 Web 应用程序。
        如何获取 GraphQL 模板
        GraphQL 模板用于扫描包含 GraphQL 查询的 API。在本主题中，您可以了解获取 GraphQL 模板的方式。
        使用 AppScan Enterprise Postman REST API 添加 API
        通过使用 AppScan Enterprise Postman REST API 添加 API 来创建 GraphQL 扫描
        使用外部工具和代理端口使用 ADAC 客户端记录 API
        通过使用外部工具和代理端口使用 ADAC 客户端记录 API 来创建 GraphQL 扫描。
        使用 Postman 或 SoapUI 使用 ADAC 客户端记录 API
        通过使用 Postman 或 SoapUI 使用 ADAC 客户端记录 API 来创建 GraphQL 扫描。
        使用 AppScan Connect 从 AppScan Standard 创建扫描
        您可以使用 AppScan Standard 将 Postman 集合导入扫描作业，然后在 AppScan Enterprise 中复制此作业。
      - 编辑扫描
        您可以编辑基本扫描来修改配置选项。如果您在编辑扫描的过程中需要帮助或需要向扫描添加更多设置，请向安全团队寻求帮助。他们可从 AppScan Dynamic Analysis Client 中的高级视图编辑扫描。
      - 创建导入扫描
        导入 QuickScan 使用产品管理员所创建的扫描模板中设置的参数来上载 AppScan® 文件。文件上载后，其数据将存储在数据库中，由报告引擎进行分析，并且您可以通过报告包（报告的集合）使用此数据。
    - 安全团队
      安全团队可以通过 AppScan Standard 授权的扫描配置创建模板。
    - 从 AppScan® Dynamic Analysis Client 中的 AppScan® Standard 转换扫描配置
      如果您具有基于 AppScan® Standard 中的扫描模板 (*.scant) 的现有内容扫描，那么可转换扫描配置，以便可在 AppScan Dynamic Analysis Client 中直接进行编辑。但是，在转换扫描配置后，可在 AppScan Standard 中再次将其打开。
  - 运行和调度作业
    了解如何在 AppScan Enterprise 中运行和调度作业。
  - 在两个 Enterprise Console 之间复制扫描
    导出扫描属性并根据这些属性创建新扫描。此方法用于在两个 Enterprise Console 实例之间复制扫描。
  - 停止然后恢复作业
    有三种方法可供您用于停止正在运行的作业。每种方法在不同的原因下使用，这在很大程度上取决于您是希望保留数据，还要希望从作业停止的地方继续运行作业。您可以恢复暂挂的作业，从停止的地方继续扫描。恢复的作业由任何可用代理进程服务器上的下一个空闲代理程序处理。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。

使用外部工具和代理端口使用 ADAC 客户端记录 API

通过使用外部工具和代理端口使用 ADAC 客户端记录 API 来创建 GraphQL 扫描。

过程

在“AppScan Enterprise 扫描”页面上，单击创建文件夹项。
选择使用模板的作业单选按钮，然后在下拉列表中选择选项 GraphQL 模板。
单击创建按钮。此时，浏览器启动 AppScan Dynamic Analysis Client (ADAC)。
导航到手动探索部分，单击添加，选择外部客户端，然后选择其他。
将外部工具配置为使用记录流量窗口中显示的本地客户端的代理端口和 IP。
配置完成后，在外部工具中运行该集合。
运行该集合后，在记录流量窗口中，单击停止记录按钮，然后单击保存。
在 ADAC 窗口中，选中为要包括在扫描中的域检测到的域下的复选框。
导航到作业属性，选择所需的测试策略，然后单击创建作业。
运行扫描。