不幸的是，WebInspect与Selence的集成本质上是Selple脚本的实时重播，用作扫描的爬行阶段。WebInspect不能简单地使用您的JAR文件。它将要求您设置某种监听程序/代理，以便在脚本回放时，WebInspect可以捕获流量，然后它对所看到的内容执行仅审核。有两种方法可以将此代理技术插入到该过程中，如WebInspect帮助中所述。用户必须配置一些功能，以便在WebInspect重播Selify脚本时，一切都会自动连接。
例如，来自WI22.10：file:///C:/ProgramData/HP/HP%20WebInspect/Help/WebInspect/index.htm#Selenium_WD_1.htm?TocPath=Using%2520WebInspect%2520Features%257CIntegrating%2520with%2520Selenium%2520WebDriver%257C_____0
除了Selify之外，在功能测试驱动的WebInspect扫描方面，还有其他几种选择。您曾询问过要求开发人员录制一些内容以提供给您的WebInspect。

• 让QA团队使用Burp代理捕获他们的Selify测试运行。让他们将捕获的代理流量保存为安全团队的人工产物，例如“acro1.burpcap.”。使用WebInspect中的工作流驱动扫描向导选项，只需将打嗝捕获作为本机工作流宏导入即可。我喜欢这个选项，因为Burp很容易获取和运行，并且支持多个操作系统作为Java应用程序。
• 也可以使用WebInspect的Web代理，因为上面使用了打嗝。然而，这使您的开发团队的事情变得复杂，因为他们无法访问WebInspect。您的开发团队还可以为WebInspect客户安装其他免费选项，包括独立的WebInspect工具包、Web代理独立工具或Web代理API工具(REST服务)。目前所有这些安装程序的一个恼人之处是，它们(目前)需要Windows，并且需要授权的WebInspect用户(您)在您的网络中下载并部署这些安装程序，以便开发人员获得。
• WebInspect REST API为代理监听程序提供了多个端点。这意味着远程用户(即您的开发人员)可以生成一个代理侦听器，通过该代理运行他们的功能测试脚本，然后将捕获的数据保存为工作流宏，并终止该侦听器。这种组合本身可能会产生您的AppSec团队稍后想要在其工作流驱动的扫描中使用的人工产物。为了通过进一步的自动化(“开发人员驱动的Dast”)来支持这一点，您可以将这些相同的代理API调用添加到最后的New Scan端点调用上，以便继续使用之前调用中刚刚记录的宏来触发工作流驱动的扫描。非常适合放入CICD管道中，前提是您在网络上有一台专用的WebInspect机，并且它的API可用。
• 将WebInspect API用作“穷人的管道扫描工具”的挑战在于，WebInspect过于简单，本身和内部都没有资源管理功能。这意味着你的管道可能会快速触发大量扫描，而WebInspect机器在开始4+次扫描后就会崩溃。啊!怎么这么乱呀!您必须将API检查设计到您的管道中，以监视WebInspect机上正在运行的扫描的数量，然后暂停/轮询管道，直到WebInspect机空闲，然后管道可以提交其新的扫描顺序。对于这类企业自动化，我们的解决方案将是使用Fortify ScanCentral Dast，而不仅仅是WebInspect独立。SCDAST为您的AppSec员工提供了一个中央Web图形用户界面，用于配置/操作/查看扫描，并在资源池中管理多台无头“WebInspect”扫描机。传入的扫描订单(REST API调用)将自动排队并确定优先级，远程扫描机将根据需要联机/关闭(可以将其视为Docker上的无头WebInspect API)。因此，现在您的CICD管道可以简单地触发Dast扫描，而不必担心扫描仪机器资源。
• 这让我想到了另一个很好的选择，即Fortify FAST代理，以满足您的Selify需求。此解决方案仅适用于ScanCentral Dast，这就是为什么我必须走上方切线的那一侧。使用FAST代理，您的开发人员只需启动FAST代理(包括ScanCentral API上的身份验证细节)，通过该代理运行他们的Selify脚本，然后在完成后终止FAST代理。这就完成了他们对 selenium 的功能测试。同时，在关闭时，FAST代理会自动将捕获的流量作为新的工作流驱动的扫描顺序发送到ScanCentral。再过一会儿，他们的Selify脚本流量的Dast扫描就完成了。如果您配置了通知，dev现在会收到指向其AppSec结果的链接。