使用 IAST 代理程式進行的 OWASP Benchmark
OWASP Benchmark Project 是一個 Java 測試套件,旨在評估軟體漏洞偵測工具。HCL AppScan IAST Java 代理程式完全符合 OWASP Benchmark。
程序
要使用 AppScan IAST Java 代理程式執行 OWASP Benchmark:
-
從克隆
BenchmarkJava
和BenchmarkUtils
https://github.com/OWASP-Benchmark 。 -
開啟命令提示符,切換到
BenchmarkUtils
目錄,然後執行mvn install -DskipTests
。 - 在 AppScan Enterprise 中:啟動 IAST Java 階段作業並下載代理程式 zip,如 在 Web 伺服器上下載和部署 Java IAST 代理程式 中所述。
-
提取
zip
檔的內容。 -
在擷取的
JAR
中,找到jar_deployment
資料夾中的secagent.jar
並將其複製到BenchmarkJava\tools\HCL
。 -
從命令提示字元執行
runBenchmark_wHCL.bat
,然後等待一段時間,直到顯示訊息“[INFO] Press Ctrl-C to stop the container...”
。 -
開啟另一個命令提示字元並執行
BenchmarkJava\runCrawler.bat
-
抓取完成後,按Ctrl+C停止Benchmark Tomcat實例。當詢問
「終止批次作業(是/否)?」
時,輸入N 。 -
執行
BenchmarkJava\createScorecards.bat
測試結果可以在:
BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 檔案
中找到圖:OWASP Benchmark v1.2 結果比較