用户定义的报告

您可以为“行业标准”报告或“合规性”报告创建用户定义的模板。

关于此任务

AppScan® 报告模板具有 .asreg 文件扩展名。提供的模板存储在 AppScan 安装目录的 \Regulations 文件夹中;您创建的模板应该存储在“AppScan 用户文件”文件夹中。

可以从头开始创建新的模板并使用 .asreg 扩展名将其保存,或复制现有文件并按照需要做出更改。(以下过程会描述基于现有模板创建模板的情况。)

过程

  1. 打开 [AppScan Standard 安装文件夹]\AppScan\Regulations 文件夹,然后复制现有 .asreg 文件。
  2. 将该文件粘贴到“AppScan 用户文件”文件夹,并为该文件提供一个新名称。
    注: 除非在工具 > 选项 >“首选项”选项卡 > 文件位置 > 用户文件夹中指定了其他位置,否则缺省情况下 AppScan 用户文件夹为 \My Documents\AppScan
  3. 根标记是 Regulation,带有 format_version 的属性:
    
    <Regulation format_version="2.0">
    
  4. 下一个标记应该是模板的标题:
    
    <Title>Our Organization's web Application Requirement Compliance Report
    </Title>
    
  5. 使用 Description 标记输入规则或标准的描述:
    
    <Description>
     <Subtitle>Sub Section</Subtitle>
     <p>This regulation addresses ...</p>
     <p>It is important because...</p>
     <Subtitle>Sub Section 2</Subtitle>
     <p>This section of the regulation addresses ...</p>
    </Description>
    
  6. 缺省情况下,有一个 <Disclaimer> 标记,它可确保您对报告的内容不承担法律责任。
  7. 为规则模板创建一个或多个需求部分(使用 <Section> 标记),并使用 <Cause>, <Risk>, <ThreatClass>,<CWE> 标记定义对于每个部分哪些 AppScan 问题是相关的。
    • 使用 Section 标记中的 name 属性来定义报告的部分标题。
    • 在起始和结束 Section 标记之间,添加以下一项或多项:
      • 来自 原因列表<Cause>。原因会描述不完整或不正确的配置、缺少的验证或类似的状态。
      • 来自 风险列表<Risk>。每个风险都是一个“最差案例方案”。
      • 来自 威胁类列表<ThreatClass>。威胁类是测试的类别。
      • <CWE> 按编号。

    示例:

    
    <Section name="My Application login must be secured">
     <Cause>inputLengthNotChecked</Cause>
     <Risk>denialOfService</Risk>
     <Risk>siteDefacement</Risk>
     <CWE>79</CWE>
    </Section>
    
  8. 关闭具有 </Regulation> 结尾标记的文件。