使用 AppScan Enterprise 中的掃描內容來配置安全掃描
安全掃描應該在暫置伺服器或「品質保證」伺服器之類的前置生產環境中執行。這麼做可協助您納入與執行安全掃描相關聯的風險。您的前置正式作業環境應該儘可能鏡映正式作業環境;在這兩個環境中,應用程式應該有相同的執行檔,您才能確知顯現的應用程式正在進行全面的測試。另外,安全掃描也應該整合在「軟體開發生命週期 (SDLC)」程序中,以便在安全問題進入正式作業環境之前就能擷取。
開始之前
- 請確定應用程式處於開發或測試環境。
- 建立一個帶有應用程式擁有者(開發人員或 QA)的時間範圍,以便在掃描應用程式時採用。在您使用 AppScan® Enterprise Server 掃描應用程式期間,該應用程式必須已啟動且正在執行,而且狀態穩定。掃描期間,不應對應用程式進行任何的變更。
- 必須先決定您要執行「手動探索」或自動搜索:
- 「手動探索」意指您將在配置中指出掃描要測試的確切 URL(掃描不會自動搜索來發現新的 URL)。如果 Web 應用程式需要與使用者頻繁互動才能導覽應用程式,或者您只想測試應用程式的特定區域,請使用此方法。
- 自動搜索意指您要將掃描配置成自動探索更多的 URL,以便在 Web 應用程式中進行測試。這個方法用於應用程式有很多靜態鏈結,並且不需與使用者頻繁互動。