Welcome
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
部署 IAST
在应用程序服务器上部署 IAST 代理程序，以便它可以监控与应用程序的通信，并向 AppScan 360° 报告。
部署 Node.js IAST 代理程序
您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。本部分将说明如何在网络服务器上创建 Node.js 代理程序。

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
- 关于交互式监控 (IAST)
  AppScan 360° 可以监控普通的应用程序运行时行为，以检测漏洞。
- 启动 IAST 会话
  在应用程序服务器上安装 IAST 代理程序，并配置扫描。
- 部署 IAST
  在应用程序服务器上部署 IAST 代理程序，以便它可以监控与应用程序的通信，并向 AppScan 360° 报告。
  - 部署 Java IAST 代理程序
    您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。本部分说明如何在 Web 服务器上创建 Java 代理程序类型。
  - 部署 .NET IAST 代理程序
    您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。本部分说明如何在 Web 服务器上创建 .NET 代理程序类型。
  - 部署 Node.js IAST 代理程序
    您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。本部分将说明如何在网络服务器上创建 Node.js 代理程序。
  - 部署 PHP IAST 代理程序
    您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。本部分说明如何在 Web 服务器上创建 PHP 代理程序类型。
- 在 Kubernetes 上部署
  AppScan 支持在 Kubernetes 集群上自动安装 IAST 代理程序。使用 MutatingAdmissionWebhook 可以将 IAST 代理程序自动安装在任何启动 Pod 中。您可以使用 Helm 或 Webhook 脚本安装或删除代理程序。
- 在 Azure App Service 上部署
  使用 IAST 代理程序监控在 Azure App Service 上运行的应用程序。
- 使用 IAST 代理程序的 OWASP Benchmark
- 使用 REST API 进行 IAST
  通过 REST API 配置并开始 IAST 扫描（包括代理程序部署）。
- IAST 配置文件
  配置 JSON 文件以覆盖缺省 IAST 设置，并仅报告您希望了解的漏洞。
- 用户设置
  某些低级别 IAST 行为可以使用用户参数进行控制。
- IAST 扫描结果
  交互 (IAST) 扫描条目显示自上次开始扫描以来的结果。
- IAST 故障诊断
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
AppScan Model Context Protocol (MCP) 服务器
AppScan MCP 服务器将 HCL AppScan 360° 直接与 AI 赋能的开发环境和代理程序进行集成。通过实施 Model Context Protocol (MCP)，此服务器允许 LLM（如 Claude 或在 VS Code 中运行的模型）安全地访问您的安全数据（包括 SAST、DAST、SCA 和 IAST 结果），以帮助您利用自然语言筛选问题、分析结果和实现工作流程自动化。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

部署 Node.js IAST 代理程序

您可以在支持基于 Java、.NET、Node.js 或 PHP 的应用程序的应用程序服务器上部署 IAST 代理程序。本部分将说明如何在网络服务器上创建 Node.js 代理程序。

关于此任务

使用以下选项之一创建 Node.js 代理程序：

Node.js（来自 npm 的代理程序）：使用通过 ASoC 获得的密钥从公共 npm 注册表中检索代理程序。推荐用于具备互联网连接且可以访问 npm 注册表的环境。
node.js（下载代理程序）：以独立 tarball 的形式从 ASoC 下载 Node.js 代理程序，以便在无 npm 访问权限的情况下进行安装。推荐用于无权访问公共 npm 注册表的物理隔离或受限的环境。

从 npm 安装代理程序

关于此任务

使用 Node.js（来自 npm 的代理程序）选项创建 IAST 代理程序。

过程

为 Node.js 代理程序生成密钥（通过用户界面或 API）。
在您的 Web 服务器上：
1. 从公共 npm 存储库安装代理程序：
```
npm install @hclsoftware/secagent
```
2. 添加以下环境变量：
  - IAST_ACCESS_TOKEN: [key]
  - IAST_HOST: as shown in the instructions (e.g. https://cloud.appscan.com/IAST)
通过找到此行来编辑 package.json：
```
"start": "node index.js",
```
然后，将其替换为以下内容：
```
"start": "node -r @hclsoftware/secagent/src/Iast.js index.js",
```
注：或者，您也可以按如下方式将密钥添加到 package.json 命令中：
- Windows："start": "set IAST_ACCESS_TOKEN=12345 && node -r @hclsoftware/secagent/src/Iast.js index.js"
- Linux："start": "IAST_ACCESS_TOKEN=12354 node -r @hclsoftware/secagent/src/Iast.js index.js"
提示：如果您使用 Next 运行应用程序，则可以在原始命令之前使用 NODE_OPTIONS 环境变量运行 IAST 代理程序，例如：NODE_OPTIONS='-r @hclsoftware/secagent/src/Iast.js' next app.js
使用 npm start 启动应用程序。

结果

在您使用或测试应用程序（例如，运行功能测试、运行动态扫描或手动浏览应用程序）时，IAST 代理程序将监控请求并报告安全问题。

从独立包进行安装

关于此任务

使用 Node.js（下载代理程序）选项创建 IAST 代理程序。

过程

在网络服务器上，从已下载的文件安装代理程序：
```
npm install hclsoftware-secagent.tgz
```
通过找到此行来编辑 package.json：
```
"start": "node index.js",
```
然后，将其替换为以下内容：
```
"start": "node -r @hclsoftware/secagent/src/Iast.js index.js",
```
提示：如果您使用 Next 运行应用程序，则可以在原始命令之前使用 NODE_OPTIONS 环境变量运行 IAST 代理程序，例如：NODE_OPTIONS='-r @hclsoftware/secagent/src/Iast.js' next app.js
使用 npm start 启动应用程序。

结果

在您使用或测试应用程序（例如，运行功能测试、运行动态扫描或手动浏览应用程序）时，IAST 代理程序将监控请求并报告安全问题。