主页
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
動態掃描 (DAST)
AppScan 360° 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 AppScan 360° 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
測試原則
測試原則是將在測試期間傳送至應用程式的測試集合。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。

開始使用
歡迎使用 HCL AppScan 360° 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
安裝
瞭解 AppScan 360° 架構以及如何安裝產品。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
導覽
本節說明主 AppScan 360° 功能表列上的項目，以及更詳細資訊的連結。
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
- 關於動態分析 (DAST)
  AppScan 360° 動態 (DAST) 掃描由兩個階段組成：「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢，而且在掃描完成前不需要輸入，但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。
- 動態掃描 (DAST)
  AppScan 360° 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 AppScan 360° 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
  - 建立 Web 應用程式掃描
    提供掃描的「起始 URL」和使用者認證、選取網站類型，以及（如果先前沒有這麼做的話）驗證您掃描網站的許可權。
  - 從範本中建立掃描
    您可以上傳自己的 AppScan Standard 範本 (SCANT) 檔，以執行 AppScan 360° 掃描。
  - 從掃描檔案中建立掃描
    您可以上傳自己的 AppScan Standard 掃描 (SCAN) 檔，以執行 AppScan 360° 掃描。
  - 建立增量掃描
  - 測試原則
    測試原則是將在測試期間傳送至應用程式的測試集合。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。
  - 測試最佳化
    「測試最佳化」會使用智慧型測試過濾，以實現更快的掃描，並將問題涵蓋範圍的損失降至最低。考慮速度時，請在四個最佳化等級之間選擇。
  - 測試自動化
    在功能測試中納入動態掃描。
  - 用戶端憑證
- 記錄資料流量
  您可以使用 AppScan 活動記錄器瀏覽器擴充功能（適用於 Chrome 或 Edge）、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard，將流量記錄為 DAST 掃描的探索資料。
- HCL AppScan 資料流量記錄器
  HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量，以當作探索資料使用。您可以依需求建立資料流量記錄器實例，以記錄稍後將用於 DAST 掃描的資料流量。
- AppScan Standard
- 動態分析的疑難排解
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
參照
將 AppScan 360° 整合至產品生命週期 (SDLC) 的一些常見問題與相關資訊。

測試原則

測試原則是將在測試期間傳送至應用程式的測試集合。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。

網站所可能有的 AppScan 測試數目可以達到數千個。您可以設定想要在應用程式上執行之測試類型的「原則」，而不需要手動過濾大量的測試和測試變式。

測試原則要在 DAST 掃描設定中進行配置。

預先定義的測試原則


原則名稱	說明
完成	包含所有可能的測試。
預設	包含侵入性測試及埠接聽器測試以外的所有測試。
2021 年 OWASP 前 10	包含 OWASP 對映的最新前 10 大漏洞種類的所有測試。
2023 年 OWASP 前 10 大 API 安全風險	包含 OWASP 對映的最新前 10 大 API 漏洞種類的所有測試。
正式作業網站	排除可能會損壞網站的侵入式測試，或是可能會導致其他使用者發生「阻斷服務」的測試。

提示：如果將測試最佳化套用至掃描配置，則所選取原則中的部分漏洞可能無法進行測試。因此，如果您是使用完整的測試原則，且想要傳送其所有測試，則應將測試最佳化設定為不進行最佳化。

另請參閱：測試最佳化常見問題