主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 2：測試應用程式的漏洞
進一步瞭解如何對應用程式中識別的漏洞進行測試。
用於建立掃描的實務
這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
安全團隊
使用以 AppScan 標準編寫的掃描配置，安全團隊可以建立範本。
根據結構 (DOM) 過濾類似的頁面
「頁面結構 (DOM) 過濾功能」可以識別與已掃描的頁面非常類似且可以放心忽略的頁面，來大幅降低掃描時間。AppScan 會比較新的頁面與那些已經掃描的頁面是否有結構化 (DOM) 相似性，這表示新的頁面不含新鏈結或包含需要進一步測試的內容。例如，在商業網站中，可能有一個型錄含有上千個不同項目的個別頁面，其所有其他內容皆相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
  - 從協力廠商掃描器匯入問題
    進一步瞭解如何從第三方掃描器匯入問題。
  - 用於建立掃描的實務
    這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
    - 9.0.2 版和更新版本與舊版之間掃描配置差異的概觀
      安全團隊（其成員具有管理者專用權）使用他們依 AppScan Standard 編寫的掃描配置來建立範本。然後掃描範本檔便可用於 AppScan Enterprise。開發人員（具有 QuickScan 使用者專用權）在建立掃描時挑選範本，並使用新的 AppScan Dynamic Analysis Client 中的精靈來完成掃描的建立。當他們需要修正掃描配置時會使用相同的 Client。
    - 開發者
      開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
    - 安全團隊
      使用以 AppScan 標準編寫的掃描配置，安全團隊可以建立範本。
      - 建立掃描範本
        本主題有助於安全團隊進一步瞭解建立掃描範本。
      - 建立掃描
        進一步瞭解如何建立掃描。
      - 編輯開發人員的掃描
        身為安全分析師，您可能必須協助開發人員編輯他們建立的基本掃描。在 AppScan Dynamic Analysis Client 中，您可以看到開發人員看不到的掃描配置選項。
      - 根據結構 (DOM) 過濾類似的頁面
        「頁面結構 (DOM) 過濾功能」可以識別與已掃描的頁面非常類似且可以放心忽略的頁面，來大幅降低掃描時間。AppScan 會比較新的頁面與那些已經掃描的頁面是否有結構化 (DOM) 相似性，這表示新的頁面不含新鏈結或包含需要進一步測試的內容。例如，在商業網站中，可能有一個型錄含有上千個不同項目的個別頁面，其所有其他內容皆相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。
    - 從 AppScan® Standard 的 AppScan® Dynamic Analysis Client 中轉換掃描配置
      如果您現有的內容掃描是根據 AppScan® Standard 中的掃描範本 (*.scant)，則您可以轉換掃描配置，使您能夠直接在 AppScan Dynamic Analysis Client 中編輯它。不過，在轉換掃描配置之後，就不能在 AppScan Standard 中重新開啟它。
  - 執行及排程工作
    進一步瞭解如何在 AppScan Enterprise 中執行及排程工作。
  - 在兩個 Enterprise Console 之間複製掃描
    匯出掃描內容，並根據這些內容建立新的掃描。這是用來在兩個 Enterprise Console 實例之間複製掃描的方法。
  - 停止工作再將它回復
    您可以利用三個方法來停止執行中的工作。每個方法各有不同的使用原因，這相當取決於您是否要保留資料，或是否要從離開的點來繼續執行工作。您可以回復暫停的工作，從它停止之處繼續掃描。在任何可用伺服器上的下一個可用代理程式，會處理回復的工作。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。

根據結構 (DOM) 過濾類似的頁面

「頁面結構 (DOM) 過濾功能」可以識別與已掃描的頁面非常類似且可以放心忽略的頁面，來大幅降低掃描時間。AppScan 會比較新的頁面與那些已經掃描的頁面是否有結構化 (DOM) 相似性，這表示新的頁面不含新鏈結或包含需要進一步測試的內容。例如，在商業網站中，可能有一個型錄含有上千個不同項目的個別頁面，其所有其他內容皆相同。通常不需要掃描所有這些頁面。根據 DOM 相似性加以過濾可以大幅降低掃描時間。

執行這項作業的原因和時機

使用者角色：產品管理員、安全分析師

程序

針對掃描視圖中現有的掃描，請移至掃描的探索選項頁面，確定已啟用根據結構 (DOM) 過濾類似頁面勾選框。
針對監視視圖中的新掃描，
1. 如果是新掃描，請啟動 AppScan Dynamic Analysis Client 並移至探索選項畫面。依預設，這兩個勾選框都會選取。如果您發現掃描過濾掉了非重複的頁面，請嘗試清除第二個勾選框，或是清除第一個勾選框來停用該特性。
2. 繼續配置掃描，然後按一下建立工作。
3. 在 AppScan Enterprise 中，按一下完成。
掃描執行之後，檢查掃描的進度標籤，來查看掃描是否錯誤地過濾掉了獨特的要求。在掃描日誌中尋找「CRWAD03010I：略過掃描日誌中的 URL（已掃描類似的 DOM）。這則訊息表示已從掃描過濾掉某個頁面，因為其結構 (DOM) 類似於先前探索過的頁面，且可能不含要測試的新元素。
您也可以檢查掃描之結果頁面上的「已過濾的鏈結」報告。尋找原因為「已超出類似內容限制」的項目。如果發生這種情況，請嘗試 AppScan Dynamic Analysis Client 中根據結構 (DOM) 過濾類似頁面勾選框的過濾較少頁面選項（這會維持固定且低階的過濾功能），或是完全停用 DOM 過濾功能。萬一掃描錯誤地濾除獨特的要求，您也可以嘗試清除根據結構 (DOM) 過濾可能類似的頁面勾選框。