下載:IBM® Rational® AppScan 標準版 | Web 應用安全與 IBM Rational AppScan 工具包html
獲取免費的 Rational 軟件工具包系列,下載更多的 Rational 軟件試用版。數據庫
一. 前言
隨着信息技術的高速發展,特別是 Internet 技術的飛速發展,愈來愈來和企業商業行爲以及和咱們平常生活工做相關的應用服務都須要依賴 Internet 這個信息平臺來開展業務。咱們在享受方便、快捷的信息化服務的同時,也面臨着信息安全問題給咱們帶來的影響甚至傷害。因爲網絡技術日趨成熟,黑客們也將注意力從以往對網絡服務器的攻擊逐步轉移到了對 Web 應用的攻擊上。這些年來,每次對於應用安全的攻擊,都將成爲大事情,並對當事企業和我的帶來很大的危害。應用安全目前已經成爲繼系統功能驗證以及系統壓力測試以後,逐漸被你們認識的系統質量和安全方面的第三大問題。因爲應用安全問題的技術性和複雜性,包括咱們目前的技術人員,甚至包括安全技術人員,在應用安全領域都有技術缺失,所以,目前採用 Web 應用安全自動化檢測工具,就成爲解決應用安全問題的一個重要手段和技術方法。IBM Rational 的應用安全測試工具 Rational AppScan,就是被你們熟知的業界領先的應用安全檢測工具。編程
到目前爲止,Rational AppScan 在國內以及在全球的各行各業,已經具備衆多的用戶。在這些用戶當中,雖然決大多數的用戶直接使用 Rational AppScan 現有的功能,就已經可以徹底知足他們的需求。可是,也有部分用戶根據本身的特殊需求,須要去擴展 AppScan 的現有功能,包括將 Rational AppScan 和企業的其餘安全管理系統進行集成,甚至是 OEM AppScan 的核心功能。本文就主要介紹 Rational AppScan 標準版的可擴展性和二次開發能力。安全
二.Rational AppScan 標準版簡介
IBM Rational AppScan 是對 Web 應用和 Web Services 進行自動化安全掃描的檢測工具,它不但能夠簡化企業發現和修復 Web 應用安全隱患的過程(由於這些工做,以往都是由人工進行,成本相對較高,可是效率卻很是低下),還能夠根據發現的安全隱患,提出有針對性的修復建議,並能造成多種符合法規、行業標準的報告,方便相關人員全面瞭解企業應用的安全情況。服務器
IBM Rational AppScan 標準版是 Rational AppScan 產品家族的重要成員,是自動化 Web 應用安全性測試的桌面解決方案,一種自動化 Web 應用安全性測試引擎,可以連續、自動地審 Web 應用程序、測試安全性問題,並生成包含修訂建議的問題和修復任務報告,簡化修復過程。cookie
IBM Rational AppScan 標準版提供:網絡
- 核心漏洞支持:包含 WASC 隱患分類中已識別的漏洞,如 SQL 注入、跨站腳本攻擊和緩衝區溢出等;
- 普遍的應用程序覆蓋:包含集成 Web 服務掃描和 JavaScript 執行(包括 Ajax)與解析;
- 自定義和可擴展功能:全面的 AppScan SDK 支持,以及方便靈活的 AppScan eXtension Framework 裝載和運行用戶社區共享的開源插件;
- 高級修復建議:展現全面的任務清單,用於修復掃描過程當中發現的問題;
- 面向滲透測試人員的自動化功能:高級測試實用工具和 Pyscan 框架做爲手動測試的補充,提供更強大的能力和更高的效率;
- 法規聽從性報告:40 種開箱即用的聽從性報告,包括 PCI Data Security Standard、ISO 17799 和 ISO 27001 以及 Basel II 等。
三.Rational AppScan 標準版的可擴展性介紹
衆所周知,應用安全檢測工具的核心能力是應用安全規則庫。IBM Rational AppScan 具備業界最全面、最準確、和更新速度最快的規則庫,這些符合行業標準的規則庫,是 IBM 衆多應用安全專家的勞動成果的結晶,同時也展示了 IBM 在應用安全領域毋庸置疑的專家和領導地位。應用安全規則庫就是安全領域的知識庫,而應用安全檢測工具就是經過引用和分析知識庫,依據規則庫的應用安全規則,來生成測試用例和測試數據。檢測工具經過在 HTTP 請求中插入測試用例的辦法,模擬攻擊來檢測和分析應用的安全問題,並生成問題報告和提出修復建議。session
根據以上對於應用安全檢測工具原理和背景的介紹,你們能夠了解到一款優秀的應用安全檢測工具就應該圍繞着應用安全規則庫來進行設計和部署。AppScan 標準版雖然只是個桌面級的應用程序,但卻具備着多層、鬆耦合的經典應用程序邏輯架構。下面咱們就詳細的介紹 AppScan 標準版的邏輯架構,而這個經典的邏輯架構,也賦予了 AppScan 標準版強大的可擴展性和二次開發能力。架構
1. AppScan 標準版的邏輯架構
圖 1. Rational AppScan 標準版邏輯架構
首先,AppScan 標準版的最底層也是最核心的部件是 AppScan 分析引擎。能夠說,AppScan 分析引擎是 AppScan 的心臟,在分析引擎內,包括用於安全掃描和檢測的模塊、用於生成問題報告的信息、用於保存和裝載掃描的機制,以及其餘不少的核心組成部分。app
在覈心引擎以外,或者說包裹着 AppScan 引擎的是 AppScan SDK,AppScan SDK 是一套完整的、具備良好定義的應用程序編程接口,用於外部世界和 AppScan 引擎的通信和交流。AppScan SDK 很是完整,他覆蓋了 AppScan 引擎提供的全部功能,包括:開始掃描的動做、從新發起一個獨立的安全掃描、生成一個基於 PDF 格式的報告、或者修改檢測的規則。同時,AppScan SDK 可以提供對於掃描過程當中所產生信息的完整訪問機制,好比:已發現的 HTML 的註解、獲得「Page not found」的相應的連接、固然還包括安全問題以及相關的修復任務。同時,若是 AppScan 引擎推出新的版本,AppScan 應用程序編程接口(SDK)也會同時加強以提供訪問新的功能,而與此同時,AppScan SDK 還支持向下兼容,以支持老版本的 AppScan 分析引擎。
在 AppScan SDK 之上,是 AppScan 圖形用戶客戶端(GUI),而圖形用戶客戶端也是咱們使用 AppScan 的最經常使用的方法。事實上,AppScan GUI 幾乎徹底用於展示和交互,它經過 AppScan SDK 來獲取數據和傳遞操做指南。儘管 AppScan GUI 是使用 AppScan 的最主要同時也是最經常使用的使用途徑,可是 AppScan 還包括幾種其餘的使用界面。這裏面就包括 AppScan 調度程序,AppScan 調度程序是用來指定和安排在特定的時間來運行掃描的組件,以及 AppScan 命令行接口。以上的兩種使用界面提供了不一樣的訪問 AppScan SDK 的途徑,並最終訪問 AppScan 分析引擎的核心功能。
因爲 AppScan SDK 應用程序編程接口都是公開的,而且具備完整的 AppScan SDK 文檔,所以第三方的應用程序也能夠很容易的使用 SDK,從而按照他們的途徑來訪問和調用 AppScan 的方法和功能。舉個例子,當您在執行迴歸測試的時候,能夠經過自動化的測試腳原本調度 AppScan 安全掃描,從而實現一鍵式的自動化測試平臺。
2. AppScan 應用程序編程接口
接下來,咱們來詳細的瞭解一下 AppScan SDK 應用程序編程接口。AppScan 應用程序編程接口是採用 Microsoft® .NET 2.0 技術實現的,這就意味着 AppScan SDK 的使用能夠經過 .NET 編程語言來實現,包括:C#、VB.NET、JS.NET、IronPython,以及其餘編程語言。
正如以前咱們所提到的,AppScan SDK 是很是全面的,經過它容許咱們訪問 AppScan 引擎提供的任何數據和功能。由於 AppScan 圖形化用戶界面也是徹底經過 SDK 來和 AppScan 分析引擎交互的,因此咱們能夠說,經過 AppScan 圖形化用戶界面能夠作到的事情,直接經過 AppScan SDK 徹底能夠作到。AppScan SDK 應用程序編程接口包括了訪問分析引擎各類功能的同步和異步的方法,以及大量的事件用於外部的監聽,從而實現基於事件驅動的方法調用。這些事件包括從完成一個掃描、發現一個單一的問題變種以及重啓以前保存的掃描的各類事件信息。
最後須要指出的是,AppScan SDK 應用程序編程接口具備良好的、完整的 SDK 文檔,並且 SDK 達到了很好的顆粒度水平。AppScan SDK 文檔是以 CHM(Compiled Microsoft® HTML Help)的文件格式發佈的,在 AppScan 標準版的安裝目錄下就能夠找到。同時,在 AXF(AppScan eXtensions Framework)門戶站點,也能夠找到 AppScan SDK 文檔的最新版本。關於 AXF 門戶網站,咱們會在接下來的內容裏介紹。關於 AppScan SDK 的詳細說明,請參考 AppScan SDK 文檔。
四.如何針對 AppScan 進行二次開發
經過上面的介紹,咱們能夠看到 AppScan 具備設計良好的邏輯架構以及全面的、強大的應用程序編程接口。這就使得 AppScan 標準版具備強大的可擴展性。對於 AppScan 的可擴展性咱們也能夠從幾個角度和層面來作介紹。事實上,因爲客戶的使用需求不一樣,因此對於 AppScan 的二次開發的要求也是不盡相同的。大致來講,AppScan 標準版的二次開發主要有三種方式:
1.開發本身的安全檢測工具
從 AppScan 標準版的介紹咱們能夠得知,事實上,AppScan 標準版是一個桌面級別的應用程序。AppScan 的核心是分析引擎,而 AppScan 標準版的全部功能也都是經過調用 AppScan 應用程序編程接口獲得的,所以,咱們能夠認爲,AppScan 標準版自己就是一個單一的圖形化用戶界面。
明確了上面的事實,咱們會發現若是用戶想利用 IBM Rational 關於應用安全方面的核心技術,來研發出本身的一套應用安全測試方案(或者確切的說是一款應用安全檢測工具),是徹底有可能。並且,事實上目前已經有用戶和第三方的機構,在和 IBM 合做,經過使用 IBM 應用安全規則庫,特別是 AppScan 分析引擎,來徹底實現本身的應用安全檢測解決方案,咱們能夠把它們稱之爲 AppScan 標準版的姊妹工具。
而利用 IBM 的應用安全核心技術,來開發本身的安全檢測工具,也是比較可行的和很是便利的。用戶只需經過調用 AppScan SDK 來調用 AppScan 分析引擎的功能,至於工具的開發,重點主要放在用戶體驗和工具使用方面就能夠了。接下來,咱們簡單介紹一下 AppScan SDK 的框架和使用。
AppScan 的 Namespace 主要有 Classes、Interfaces 以及 Enumerations 所組成,以下所示:
表 1. Classes
| Class | 描述 |
|---|---|
| AppScanFactory | AppScanFactory 是 AppScan 的主接入點。使用這個類能夠建立實例接口 IAppScan。AppScanFactory 是個靜態類,不可以被繼承和實例化 |
| ScanOperation | 是表明 AppScan 執行的具體操做的類 |
| ScanStatus | 是表明當前掃描動做狀態的類 |
表 2. Interfaces
| Interface | 描述 |
|---|---|
| IAppScan | IAppScan 是 AppScan SDK 的主接口。他封裝着 AppScan 分析引擎的功能,同時做爲任何企圖訪問 AppScan 分析引擎的客戶端的接入點 |
| ICustomProperties | ICustomProperties 是表明 key/value 模式用戶數據存儲庫。這個接口被 AppScan 用於讓用戶保存客戶化的字符項 |
| IMainFactory | 用戶內部使用 |
| IScanDataLoader | 將裝載和保存掃描數據的操做展示出去 |
| IScanManager | 展示掃描管理操做 |
| IVersion | 用於掌控 AppScan 的版本信息。版本信息的格式是: V.R.M.F. 分別是 Version、Release、Modification 以及 Fix。構建和規則庫編號不屬於應用版本的內容 |
表 3. Enumerations
| Enumerations | 描述 |
|---|---|
| AppScanFeature | 表明各類不一樣的 AppScan 功能 |
| ScanOperationResult | 表明全部可能的應用掃描結果 |
| ScanOperationState | 表明掃描操做階段(好比:探索,測試等等 ...) |
| ScanOperationType | 表明各類可能的掃描操做種類 |
| VersionFlags | 表明各類版本標示符 |
使用 AppScan SDK 進行圖形化用戶界面的開發,須要調用 AppScan 的庫文件,並引用 AppScan 的命名空間。下面咱們舉個例子,說明如何使用類 AppScanFactory 來建立接口 IAppScan:
清單 1. 使用類 AppScanFactory 來建立接口 IAppScan
Namespace: AppScan Assembly: AppScanSDK (in AppScanSDK.dll)
語法
Visual Basic (Declaration) Public NotInheritable Class AppScanFactory C# public sealed class AppScanFactory C++ ref class AppScanFactory sealed J# public final class AppScanFactory JScript public final class AppScanFactory
代碼示例
using AppScan; using System; class MyClass { public static int Main() { IAppScan appScan = AppScanFactory.CreateInstance(); Console.Out.WriteLine(appScan.Version.ToString()); } }
2.AppScan 標準版插件的開發
相比開發本身的安全檢測工具來講,絕大多數的用戶仍是傾向於直接使用 AppScan 標準版,同時又但願可以很方便的去擴展 AppScan 標準版的功能。而 AppScan 標準版自己就具備強大的插件管理框架,咱們稱之爲 AppScan eXtensions Framework,而 AXF 的基礎就是 AppScan 的體系架構,特別是 AppScan SDK 應用程序編程接口。AppScan eXtensions 是一些獨立的 AppScan 標準版的插件,這些插件提供一些附加的功能,用於擴展標準版的能力。AppScan eXtensions 插件在 AppScan 標準版應用程序啓動時被 AppScan 加載,從而可以立刻訪問 AppScan SDK,AppScan eXtensions 插件將以多種方式掛載和嵌入 AppScan 標準版的用戶界面。這邊須要強調的是,AppScan eXtensions 插件和 AppScan GUI 圖形用戶界面並非同級的,AppScan eXtensions 插件的安裝、調用和運行都要依賴於 AppScan GUI,並須要和 AppScan GUI 進行交互。以下圖 2 所示:
圖 2. AXF 和 AppScan GUI 的關係
AppScan eXtensions 和 AppScan GUI 訪問 AppScan 分析引擎的方式是同樣的,都是經過相同的 AppScan SDK 來和分析引擎進行交互。這種訪問方式就使得 AppScan eXtensions 和 AppScan GUI 具備相同的功能和同樣的強大,事實上 AppsScan eXtensions 和 AppScan GUI 所能訪問到的 AppScan 核心功能是相同的。對於用戶的使用和交互,AppScan eXtensions 還能夠對於 AppScan 用戶界面進行一些特殊的控制。這些控制包括:菜單欄項目、右鍵菜單項目、工具欄項目等等。同時,AppScan eXtensions 還能夠打開本身的窗體和用戶界面對話框,以及實現其餘的功能和用戶使用加強。AppScan Extensions 能夠以各類不一樣的形式和用戶界面嵌入到 AppScan 標準版的圖形化用戶界面當中來。這些窗體和用戶界面能夠很小(能夠什麼都不作只是從用戶界面到 Windows 剪切板進行數據的拷貝),同時也能夠很大(好比 SQL 注入探測工具)。AppScan Extensions 能夠是前攝式的(執行一個掃描,生成報告等等),也能夠是事件驅動式的(好比當發現一個安全漏洞時,能夠發送一個 e-mail 信息)。同時 AppScan Extensionsde 的運行還能夠大量的依賴使用人員的交互(好比提示用戶輸入用於手工測試時信息),或者徹底的自動化(好比靜默得將掃描結果導入到共享網絡的 XML 文件裏)。
整體來講,AppScan Extensions 具備 AppScan GUI 一樣強大的功能,能夠實現開發者想要的任何功能。接下來,咱們回顧一下對於 AppScan Extensions 的使用,經過一些簡單的例子,咱們來學習一下這些 AppScan Extensions 是如何來實現咱們指望的一些需求的。
一個最多見的對於 AppScan eXtensions 的應用就是支持你的流程。通常來講,運行 AppScan 只是咱們發現和修復安全問題的一個階段。好比:這個流程還可能包括讀取應用程序的詳細信息從而從某個在線的協做平臺來開始一個安全掃描,或者在安全掃描以後將發現的應用安全問題導出到缺陷跟蹤系統當中。AppScan eXtensions 能夠以自動化的方式來執行這些動做,從而節省你重複執行這些任務的時間。
功能的缺失是另一個使用 AppScan eXtensions 的常見狀況。有些時候咱們會發現 AppScan 沒有提供咱們所須要的一些小功能,而這些小功能的缺失又確實會影響咱們的工做或者浪費咱們的時間,這時候咱們就能夠很容易經過開發 AppScan eXtensions 插件來知足這些功能,從而讓咱們擺脫暫時的困境。
第三個使用 AppScan eXtensions 的場景是須要將 AppScan 和其餘的工具進行集成,好比網絡安全檢測工具,數據庫安全檢查工具以及不少其餘的工具。在這些工具之間複製配置是一件很是浪費時間的差事,包括使用多個用戶界面也會使問題惡化,以及管理不一樣的多個工具所產生的結果數據來支持統一的應用審計也是一個很大的問題。AppScan eXtensions 能夠很容易的調用和執行這些工具,將這些不一樣工具所產生的數據都導入 AppScan 存儲庫,從而使用 AppScan 強大的報表框架來生成報告。
第四個典型的使用 AppScan eXtensions 的場景是創新。安全研究人員時常會萌發出一些新的測試理念和技術,您常常會發現本身須要編寫很長的代碼用於鏈接站點(處理代理和 SSL)、登陸一個網站(跟蹤 session cookies 和一些動態的組件)、以及展示結果數據。AppScan 和 AppScan SDK 提供了一個強大的框架用來支持從新發明,咱們能夠開發出一些獨立的 AppScan eXtensions 用於功能驗證和創新,而這些改動又不會影響現有的 AppScan 標準版程序。
AppScan eXtensions framework 可擴展插件框架容許你擴展功能以知足個性化的需求,而這些需求一般又具備廣泛性(固然通常來講都會稍許有些不一樣)。一個用戶可能但願將 AppScan 發現的一些安全問題導入到 IBM® Rational® ClearQuest®工具當中,而另一個用戶又可能但願將安全問題導入到工具 Bugzilla 當中,而實現這兩個需求的插件從功能上來講不少地方是相同的。爲了使 AppScan 的用戶和 IBM 實驗室能有個很好的協做和互動,經過最簡單的方式共同研究和開發最好的 AppScan eXtensions 插件,IBM 針對 AppScan eXtensions 建立和維護了一個專門的信息門戶網站 AppScan eXtensions Portal。這個門戶網站提供關於 AppScan eXtensions 的各類不一樣的信息,包括:開發 AppScan eXtensions 插件的詳細指南以及最新的產品文檔和插件案例。AppScan eXtensions Web Portal 具備網絡社區的各類功能,好比:論壇和意見提交系統,以及其餘更進一步提高不一樣用戶協做和交互的功能。
AppScan eXtensions Portal 門戶網站還包括全部目前發佈的 AppScan eXtensions 插件案例,這些插件有些是 IBM 本身開發的,有些是由 AppScan 的一些用戶開發的。你能夠下載和安裝這些插件,並經過簡單的點擊就能夠實現你所須要的一些特定的功能。用戶能夠免費的使用這些插件,每一個插件都有本身的信息頁面,來提供插件信息,包括爲何和如何使用它們,以及必須的安裝操做說明。AXF Portal 門戶網站所提供的幾乎全部的 AppScan eXtensions 插件都是開源的,這些插件的源代碼均可以在 Google Code Web 站點上找獲得。AppScan eXtensions 的開源精神自己就是 AXF Protal 門戶網站的基石,插件的開源能夠很方便的讓用戶去修改已有的插件從而知足其個性需求,或者加強現有插件以彌補功能上的一些缺失。而這些加強的 AppScan eXtensions 插件又能夠從新發布到 AXF 門戶網站上來,幫助論壇上其餘的用戶更好的使用 AppScan。
Appcan 標準版提供 AppScan eXtensions 插件管理器,來幫助用戶安裝 AppScan eXtensions 插件,或者管理現有的插件。AppScan eXtensions 插件管理器以下圖 3 所示:
圖 3. Rational AppScan eXtensions 插件管理器
你能夠經過 AppScan 標準版的「工具 > 擴展 > 插件管理器」來打開 AppScan eXtensions 插件管理器。插件管理器羅列了現有的已安裝的插件,容許你啓用和不啓用這些插件。不啓用並非刪除,而是在 AppScan 下次啓動時不加載這些插件。若是你想獲得關於下載和安裝 AppScan 插件的演示視頻,你能夠訪問 AXF Portal 門戶網站。
3.經過命令行擴展 AppScan
AppScan 標準版不但包含圖形化用戶界面,同時還包括命令行界面,也就是說 AppScan 標準版的功能能夠經過使用「命令行界面」來執行,即不使用「圖形化用戶界面」,而是出現命令提示符時輸入命令,來執行 AppScan 的相關操做,使用 AppScan 的相關功能。
你們知道,一個工具若是提供命令行的使用界面,將給該工具的使用賦予更多的靈活性,這些命令行功能,在您須要自動從腳本或批處理文件中控制 AppScan 時特別有用。從命令行中,您還可使用 AppScan CMD 命令來啓動 AppScan 的圖形界面。若是說 AppScan eXtensions 是擴展 AppScan 標準版的現有功能的話,那麼使用命令行就是專一於如何使用 AppScan 了。
AppScan CLI 命令的結構是這樣的,包括三個部分:
- 實用程序命令:AppScanCMD
- 將執行的特定命令,例如:exec
- 所選命令必須的選項,例如:/base_scan < 完整路徑 >/d < 完整路徑 >
AppScan CMD 主要包括如下一些命令:
- Help 命令:help 命令會列顯本節中描述的命令用法
- Exec 命令:
- exec 命令會建立與所指定基本掃描具備相同配置的新掃描
- 執行掃描(「探索」和「測試」步驟)並將掃描結果保存到指定目錄
- 還能夠選擇將其用於生成和保存新掃描的報告
- Report 命令:report 命令用於裝入指定的掃描和生成報告
- AppScan CMD 還包括完整的「退出狀態」代碼
下面咱們舉個例子來講明爲何和如何來使用 AppScan CMD 命令行。咱們知道,應用安全屬於信息安全領域,同時也屬於系統測試領域。從完整的系統測試的角度來講,不但包括功能測試、性能測試,同時也包括系統應用安全測試。若是咱們的客戶擁有本身的一套系統質量和測試管理平臺,而又想把 AppScan 集成到這個平臺當中來,把 AppScan 標準版做爲一個自動化的安全測試終端來用。這個需求就能夠經過 AppScan CMD 命令行來實現,包括:AppScan 安全掃描的調度、掃描過程的監控和控制、以及掃描結果的同步和集成。集成質量測試管理平臺來調度 AppScan 的命令的例子以下:
- AppScanCMD exec /base_scan < 完整路徑 > /d < 完整路徑 >
此命令將使用所選基本掃描的配置來運行新的掃描,並將結果保存在特定位置。關於 AppScan 標準版命令行界面的詳細使用說明,請參考 AppScan 標準版使用手冊。
五. 總結
綜上所述,AppScan 標準版具備設計良好的邏輯架構,和完整全面的 AppScan SDK 編程接口。而 AppScan 邏輯架構和 SDK 編程接口,就賦予了 AppScan 標準版無限的、和多種的可擴展性和二次開發能力。而這些可擴展性和二次開發的方法又適用於不一樣用戶的不一樣使用要求。若是您很是關注用戶使用界面,甚至想開發一套本身的應用安全檢測工具,可是暫時又沒有能力去開發和維護底層的應用安全規則庫和掃描引擎,你徹底能夠和 IBM 合做,採用 IBM 業界領先的應用規則知識庫和規則引擎,同時經過 AppScan 強大的編程接口來開發展示自身理念的圖形化客戶端;若是 AppScan 標準版已經能知足您的絕大多少的需求,您只是想經過開發一些小插件來擴展 AppScan 標準版的功能,你能夠利用強大的 AppScan eXtensions 插件管理器,來安裝和管理現有的一些 AppScan eXtensions 插件,或者加強和開發新的 AppScan eXtensions 插件;若是 AppScan 已經能知足你的安全檢測功能上的需求,你只是但願可以將 AppScan 集成到您現有的安全管理平臺當中,或者直接把 AppScan 標準版做爲一個掃描探針來用,或者經過腳原本實現自動化的批處理活動,這時 AppScan CMD 命令行接口就能知足你這方面的需求。