如何更有效使用 Rational AppScan 扫描

Posted 2023-04-11

参考技术A 1)网站规模2)AppScan的工作原理3)扫描规模：AppScan的扫描能力收到哪些因素的影响？好的，对AppScan工具和网站的特点有了了解以后，我们来讨论如何更有效地使用AppScan来进行安全扫描，特别是扫描大型网站？使用AppScan来进行扫描我们按照PDCA的方法论来进行规划和讨论；
　　建议的AppScan使用步骤：PDCA: Plan,Do,check, Action andAnalysis.不去考究A是action还是Analysis了，我习惯理解为Analysis,前面都Do了，这里就更要分析和总结。
　　1.计划阶段：明确目的，进行策略性的选择和任务分解。
　　2.明确目的：选择合适的扫描策略
　　3.了解对象：首先进行探索，了解网站结构和规模
　　4.确定策略：进行对应的配置
　　5.按照目录进行扫描任务的分解
　　6.按照扫描策略进行扫描任务的分解
　　7.执行阶段：一边扫描一遍观察4)进行扫描
　　8.先爬后扫（继续仅测试）检查阶段（Check）
　　9.检查和调整配置结果分析(Analysis)7)对比结果

　　汇总结果（整合和过滤）其他常见的AppScan配置：
　　扫描保存的间隔时间2)内存使用量3)临时文件的保存路径

什么是RUP

Rational统一过程（Rational  Unified  Process，RUP）是由Rational软件公司推出的一种完整且完美的软件过程。

RUP总结了经过多年商业化验证的6条最有效的软件开发经验，这些经验被称为“最佳实践”。“最佳实践”包括，

1. 迭代式开发：一种能够通过一系列细化、若干个渐进的反复过程而得出有效解决方案的迭代方法。更容易地容纳需求的变更。
2. 管理需求：使用用例和脚本是捕获功能性需求的有效方法，RUP采用用例分析捕获需求，并有它们驱动设计和实现。
3. 使用基于构件的体系结构：有助于降低软件开发的复杂性，提高软件重用率。
4. 可视化建模：是一种对事物的一种无歧义的书面描述，可以提高管理软件复杂性的能力。
5. 验证软件质量：RUP中，软件质量评估内建在贯穿于整个开发过程的、由全体人员参与的所有活动中。
6. 控制软件变更