将评估发布到 AppScan 企业控制台

如果 AppScan®Enterprise Server 已与 企业控制台 选件一起安装,那么您可以向其发布评估。企业控制台 提供各种用于处理评估的工具,例如报告功能、问题管理、趋势分析和仪表板。

关于此任务

您必须先在 AppScan 企业控制台首选项页面中配置服务器设置,然后才能将评估发布到 企业控制台。有关设置首选项的信息,请参阅 AppScan 企业控制台 首选项

注: 对于 AppScan 源AppScan Enterprise 的某些版本,两个产品的版本和发行版级别必须匹配才能从 AppScan 源 发布到 AppScan 企业控制台。请参阅如何为不同版本的 AppScan Source 和 AppScan Enterprise 启用连接和发布评估,以了解在发布评估时兼容哪些版本的 AppScan 源AppScan Enterprise
限制: 当扫描多个应用程序或项目时,将在“我的评估”视图中创建一个父节点(其中包含每个已扫描项的评估)。在此情况下,无法管理单独子评估(例如,无法单个地移除或发布子评估)。当同时扫描多个应用程序或项目时,您只能将评估作为组(父节点)来管理。

过程

  1. 使用以下某种方法将一个或多个评估发布到 企业控制台
    1. 在“我的评估”视图中选择一个或多个评估,然后单击将评估发布到 AppScan 企业控制台
    2. 在“我的评估”视图中右键单击该评估(或选择的一组评估),然后选择将评估发布到 AppScan 企业控制台 菜单项。
    3. 评估打开时,从主菜单中选择文件 > 将评估发布到 AppScan 企业控制台
  2. 在“发布到 AppScan 企业控制台”对话框中:
    1. 指定要与评估关联的 AppScan 企业控制台 应用程序。当连接到 AppScanEnterprise Server V9.0.3 和更高版本时,这是必需的(除非禁用需求,如此处所示)。当连接到 AppScanEnterprise Server 的较低版本时,关联应用程序是可选的。缺省情况下,如果连接到 AppScanEnterprise Server 的较低版本,应用程序将设置为指定用于发布的上一个应用程序。如果先前在发布时未指定任何应用程序,那么缺省情况下将不使用任何应用程序。要指定应用程序:
      1. 单击应用程序字段选择按钮。
      2. 将打开“选择应用程序”对话框,其中显示已存在于 AppScan 企业控制台 中的所有应用程序。要在 AppScan 企业控制台 中查看应用程序的属性,请单击该应用程序旁边的查看概要信息
      3. 选择要与扫描关联的应用程序,或者通过单击新建应用程序来为此目的创建新应用程序。单击此链接将打开 AppScan 企业控制台 并允许您创建新应用程序。一旦保存了新应用程序的属性,“选择应用程序”对话框便将自动刷新以包含该应用程序供选择(如果它未自动包含新应用程序,请单击刷新)。
        提示: 在“选择应用程序”对话框中,可以使用过滤器字段来缩短应用程序的列表。当您输入时,过滤器会自动应用于应用程序的列表。星号 (*) 和问号 (?) 字符可用作通配符。星号与任意一组的零个或更多字符匹配,而问号与任意单个字符匹配。
      4. 选择了应用程序后,单击确定
    2. 必需: 名称字段中,指定评估将在 AppScan 企业控制台 中另存为的名称。
    3. 可选: 当连接到 V9.0.3 之前的 AppScanEnterprise Server 版本时:使用文件夹字段来设置要发布到的位置。缺省情况下,该位置设置为上次用于发布的位置。如果先前未发布任何评估,那么将选择缺省AppScan 企业控制台文件夹(注意:这是在 AppScan 企业控制台首选项页面中指定的用户标识的缺省文件夹)。要选择发布到其他文件夹,请单击文件夹字段选择按钮,然后选择所需的文件夹(仅您有权向其发布内容的文件夹才可用)。如果想要用作发布目标位置的文件夹不可用,请单击刷新以使用已在服务器上进行的任何更改更新文件夹树。
  3. 单击发布

结果

保存评估时,AppScan Source for Analysis 会将绝对路径写入评估文件以引用诸如源文件的项。这些绝对路径可能导致难以共享具有不同目录结构的另一台计算机上的文件。为了能够创建可移植评估文件,应创建一个变量(请参阅定义变量发布和保存时定义变量)。

发布此评估后,将在参考消息中提供指向 AppScan Enterprise企业控制台)的链接。单击该链接将在缺省外部 Web 浏览器中打开门户网站页面。

提示: 如果发布失败,请检查 企业控制台 服务器是否在运行,以及您是否能够在浏览器中访问其控制中心 URL(使用您已在 AppScan 企业控制台 首选项页面中指定的同一 Enterprise Console URL)。
注:
  • 大型评估可能需要更长时间才能显示在门户网站中。如果发布后收到错误消息,而门户网站上没有出现报告,那么请与管理员核实。
  • 任何发布与当前正在由 企业控制台 所处理评估同名的评估的尝试都将失败。此外,如果在处理了第一个评估后发布与该评估同名的评估,那么第二个评估将覆盖第一个评估(如果已提前将 企业控制台 配置为提供同名报告的趋势分析,那么它便能够执行此操作)。要确定对评估的处理是否已完成,请在浏览器中访问 企业控制台 控制中心,然后浏览至相应的用户文件夹并检查报告的状态。
  • AppScan 源 不支持向已配置为使用代理设置的 企业控制台实例进行发布。尝试向使用代理设置的实例进行发布将导致错误。
重要:

升级到 AppScan 源 V9.0.3.4 时,将注意到以下更改:

  • 在将评估发布到 AppScan 企业控制台 时,现在必须将评估与 AppScan 企业 中的应用程序关联(如果您正在运行 AppScanEnterprise Server V9.0.3 和更高版本)。因此,如果自动化脚本不包含应用程序关联,那么它们可能失败。在 AppScanEnterprise Server 中,如果想要利用 AppScanEnterprise Server 应用程序安全性风险管理功能,那么需要应用程序关联。请参阅 http://help.hcltechsw.com/appscan/Enterprise/10.0.0/topics/c_overview.html
  • 此外,您必须从 AppScan 企业 URL 中删除端口。
    1. AppScan Source for Analysis中,单击编辑 > 首选项
    2. AppScan 企业 控制台设置中,从 Enterprise Console URL 字段中删除端口。
  • 发布评估之后,它仅可在AppScan 企业 “监视器”视图中可用(在先前发行版中,评估可在 AppScan 企业“扫描”视图中可用)。http://help.hcltechsw.com/appscan/Enterprise/10.0.0/topics/t_workflow_for_applications.html中描述了如何迁移到该视图。

这是使用通用访问卡 (CAC) 认证时 AppScan 源 与发布到 AppScanEnterprise Server 所需的 AppScanEnterprise Server 之间的已更改通信协议的结果。

如果不想在启用了 CAC 认证时将评估发布到 AppScanEnterprise Server,或者如果不想利用 Enterprise Server 应用程序安全性风险管理功能,可还原至先前的通信协议,如下所示:

  1. 打开 <data_dir>\config\ounce.ozsettings(其中 <data_dir>AppScan 源 程序数据的位置,如安装和用户数据文件位置)。
  2. 在此文件中,找到以下设置:
    <Setting 
		name="force_ase902_assessment_publish"
		value="false"
		default_value="false"
		description="Use ASE 9.0.2-style assessment publish"
		display_name="Use ASE 9.0.2-style assessment publish"
		type="boolean"
		read_only="true"
		hidden="true"
/>
  3. 在此设置中,将 value="false" 更改为 value="true",然后保存文件。
  4. 重新启动将从其中发布评估的 AppScan 源 产品。

当将此设置项设置为 value="true" 时:

  • 如果在发布时将评估与 AppScan 企业 中的应用程序关联,那么评估将在“监视器”和“扫描”视图中可用。
  • 如果在发布时不将评估与应用程序关联,评估将在“扫描”视图中可用。
  • 启用 CAC 认证后您将无法将评估发布到 AppScanEnterprise Server

有关详细信息,请参阅从 AppScan Source V9.0.3.4 以及更高版本发布到 AppScan Enterprise 需要使用应用程序