請追蹤這個工作流程來管理您組織內的應用程式安全風險。
進一步瞭解如何對應用程式中識別的漏洞進行測試。
這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
使用以 AppScan 標準編寫的掃描配置,安全團隊可以建立範本。
進一步瞭解如何建立掃描。
進一步瞭解如何建立應用程式庫存。
進一步瞭解如何從第三方掃描器匯入問題。
安全團隊(其成員具有管理者專用權)使用他們依 AppScan Standard 編寫的掃描配置來建立範本。然後掃描範本檔便可用於 AppScan Enterprise。開發人員(具有 QuickScan 使用者專用權)在建立掃描時挑選範本,並使用新的 AppScan Dynamic Analysis Client 中的精靈來完成掃描的建立。當他們需要修正掃描配置時會使用相同的 Client。
開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
本主題有助於安全團隊進一步瞭解建立掃描範本。
從 AppScan® Standard 上傳掃描範本,以便在 AppScan Enterprise 中使用相同的探索和測試階段配置。這樣可以節省在 AppScan Standard 和 AppScan Enterprise 之間重建掃描配置所耗費的時間和人力。
身為安全團隊的一員,您可以使用 AppScan Dynamic Analysis Client 來建立進階掃描。
身為安全分析師,您可能必須協助開發人員編輯他們建立的基本掃描。在 AppScan Dynamic Analysis Client 中,您可以看到開發人員看不到的掃描配置選項。
「頁面結構 (DOM) 過濾功能」可以識別與已掃描的頁面非常類似且可以放心忽略的頁面,來大幅降低掃描時間。AppScan 會比較新的頁面與那些已經掃描的頁面是否有結構化 (DOM) 相似性,這表示新的頁面不含新鏈結或包含需要進一步測試的內容。例如,在商業網站中,可能有一個型錄含有上千個不同項目的個別頁面,其所有其他內容皆相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。
如果您現有的內容掃描是根據 AppScan® Standard 中的掃描範本 (*.scant),則您可以轉換掃描配置,使您能夠直接在 AppScan Dynamic Analysis Client 中編輯它。不過,在轉換掃描配置之後,就不能在 AppScan Standard 中重新開啟它。
進一步瞭解如何在 AppScan Enterprise 中執行及排程工作。
匯出掃描內容,並根據這些內容建立新的掃描。這是用來在兩個 Enterprise Console 實例之間複製掃描的方法。
您可以利用三個方法來停止執行中的工作。每個方法各有不同的使用原因,這相當取決於您是否要保留資料,或是否要從離開的點來繼續執行工作。您可以回復暫停的工作,從它停止之處繼續掃描。在任何可用伺服器上的下一個可用代理程式,會處理回復的工作。
進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
進一步瞭解如何對應用程式中識別的風險進行補救。
進一步瞭解如何測量進度及展示相符性。