导入由Selenium生成的扩展名为.jar的宏

不幸的是，WebInspect与Selenium的集成本质上是实时回放Selenium脚本，用作扫描的爬网阶段。WebInspect不能简单地使用JAR文件。这将需要您设置某种侦听器/代理，因此当脚本回放时，WebInspect可以捕获流量，然后对所看到的内容执行"仅审核"。有两种方法可以将此代理技术插入到流程中，如WebInspect帮助中所述。用户必须配置一些功能，这样当WebInspect回放Selenium脚本时，所有内容都会自动连接。

例如，WI 22.10：file:///C:/ProgramData/HP/HP%20WebInspect/Help/WebInspect/index.htm#Selenium_WD_1.htm?TocPath=Using%2520WebInspect%2520Features%257CIntegrating%2520with%2520Selenium%2520WebDriver%257C_____0

除了Selenium，在功能测试驱动的WebInspect扫描方面还有其他几种选择。您曾询问要求开发人员记录一些内容以提供给您的for WebInspect。

• 让QA团队使用BURP Proxy捕获他们的Selenium测试运行。让他们将捕获的代理流量保存为安全团队的工件，例如"；macro1.burpcap"；。使用WebInspect中的工作流驱动的扫描向导选项，只需将BURP捕获导入为本机工作流宏即可。我喜欢这个选项，因为BURP易于获取和运行，并且作为Java应用程序支持多个操作系统。

• WebInspect的Web代理也可以使用，就像上面使用的BURP一样。然而，这会使开发团队的工作变得复杂，因为他们无法访问WebInspect。您的开发团队可以为WebInspect客户安装其他免费选项，包括独立WebInspect工具包、Web代理独立工具或Web代理API工具(REST服务)。今天所有这些的一个烦恼是，它们(目前)需要Windows，并且需要授权的WebInspect用户(您)在您的网络中下载并部署这些安装程序，以便开发人员获得。

• WebInspect REST API为代理侦听器提供了多个端点。这意味着远程用户(即开发人员)可以生成一个代理侦听器，通过该代理运行他们的功能测试脚本，然后将捕获的数据保存为工作流宏，并终止侦听器。这种组合本身就可以产生您的appsec团队稍后在工作流驱动的扫描中使用的工件。为了通过进一步的自动化("开发人员驱动的DAST")支持这一点，您可以让这些相同的代理API调用在最后添加一个新扫描端点调用，以继续使用之前调用中刚刚记录的宏触发工作流驱动的扫描。很适合放入cicd管道，前提是网络上有一台专用的WebInspect机器，其API可用。

• 使用WebInspect API作为一种；穷人的管道扫描工具"；WebInspect过于简单，本身没有资源管理功能。这意味着你的管道可能会很快触发大量扫描，而WebInspect机器在启动4次以上扫描后就会崩溃。真是一团糟！您必须在管道中设计API检查，以监控WebInspect计算机上正在运行的扫描次数，然后暂停/轮询管道，直到WebInspect机器空闲，管道可以提交新的扫描顺序。我们针对这种企业自动化的解决方案是使用Fortify ScanCentral DAST，而不仅仅是WebInspect单机版。SCDAST为您的appsec工作人员提供了一个中央web GUI来配置/操作/审查扫描；WebInspect"；扫描在资源池中管理的计算机。传入的扫描订单(REST API调用)将自动排队并排定优先级，远程扫描机将根据需要联机/关闭(如Docker上的无头WebInspect API)。因此，现在您的cicd管道可以简单地触发DAST扫描，而不必担心扫描机资源。

• 这让我想到了另一个满足硒需求的好选择，Fortify FAST Proxy。这个解决方案只适用于ScanCentral DAST，这就是为什么我必须使用上面的切线。使用FAST代理，开发人员只会启动FAST代理(包括ScanCentral API上的身份验证详细信息)，通过该代理运行他们的Selenium脚本，然后在完成后终止FAST代理。这就完成了他们的硒功能测试。同时，在关闭时，FAST代理会自动将捕获的流量作为新工作流驱动的扫描订单发送到ScanCentral。过了一会儿，他们的Selenium脚本流量的DAST扫描就完成了。如果您配置了Notifications，dev现在会收到一个指向其appsec结果的链接。