Welcome
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
HCL AppScan 資料流量記錄器
HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量，以當作探索資料使用。您可以依需求建立資料流量記錄器實例，以記錄稍後將用於 DAST 掃描的資料流量。
API 指令

開始使用
歡迎使用 HCL AppScan 360° 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
安裝
瞭解 AppScan 360° 架構以及如何安裝產品。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
導覽
本節說明主 AppScan 360° 功能表列上的項目，以及更詳細資訊的連結。
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
- 關於動態分析 (DAST)
  AppScan 360° 動態 (DAST) 掃描由兩個階段組成：「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢，而且在掃描完成前不需要輸入，但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。
- 動態掃描 (DAST)
  AppScan 360° 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 AppScan 360° 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
- 記錄資料流量
  您可以使用 AppScan 活動記錄器瀏覽器擴充功能（適用於 Chrome 或 Edge）、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard，將流量記錄為 DAST 掃描的已記錄探索資料。
- HCL AppScan 資料流量記錄器
  HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量，以當作探索資料使用。您可以依需求建立資料流量記錄器實例，以記錄稍後將用於 DAST 掃描的資料流量。
  - 系統需求
  - 安裝 HCL AppScan 資料流量記錄器
  - 配置資料流量記錄器
    您可以在配置檔 Settings.json 中進行變更，以供搭配 HCL AppScan 資料流量記錄器使用
  - 啟動和停止資料流量記錄器
    您可以啟動資料流量記錄器，或是當成服務來執行。您不能同時執行這兩項作業。
  - 使用 HCL AppScan 資料流量記錄器
    HCL AppScan 資料流量記錄器啟動之後，您就可以啟動新的實例，以記錄您應用程式的資料流量。
  - API 指令
- AppScan Standard
- 動態分析的疑難排解
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，AppScan 360° 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
參照
將 AppScan 360° 整合至產品生命週期 (SDLC) 的一些常見問題與相關資訊。

HCL AppScan 資料流量記錄器 API 指令

Swagger 也可以在命令提示字元使用下列命令取得此頁面上的資訊：

https://<server>:<port>

所有指令都會指向與下列類似的端點：

https://[server]:[port]/automation/

server = 其上安裝資料流量記錄器之機器的 IP 位址。預設值是 localhost。

port = HCL AppScan 資料流量記錄器 Proxy 接聽的連接埠

`StartProxy`

啟動在指定埠上接聽的 HCL AppScan 資料流量記錄器。

URL: https://[server]:[port]/automation/StartProxy/<recordingPort>
要求類型：POST 或 GET。如果使用 chainedProxy、proxyCertificate 和 clientCertificate，則要求為 POST。否則就是 GET。

`StopProxy`

停止在指定的埠上接聽的資料流量記錄器實例。

URL: https://[server]:[port]/automation/StopProxy/<recordingPort>
要求類型：GET

重要：將埠設定為 0，不會停止所有已開啟的 Proxy。請使用 StopAllProxies。

`StopAllProxies`

停止所有埠上的所有執行中記錄 Proxy，包含其他使用者所啟動的記錄 Proxy。

URL: https://[server]:[port]/automation/StopAllProxies
要求類型：POST

`EncryptDastConfig`

上傳 DAST.CONFIG 檔案以進行加密。

URL: https://[server]:[port]/automation/EncryptDastConfig
要求類型：POST

`DownloadEncryptedDast`

下載加密的 DAST.CONFIG 檔案（使用 EncryptDastConfig API 呼叫上傳）。

註：下載檔案時，會從資料流量記錄器中刪除經過加密和未加密的 DAST.CONFIG 檔案。

URL: https://[server]:[port]/automation/DownloadEncryptedDastConfig/<uuid>
要求類型：GET

`Traffic`

將來自依埠所識別之「資料流量記錄器」中的已記錄資料下載為 DAST.CONFIG 檔案。

URL: https://[server]:[port]/automation/Traffic/<recordingPort>
要求類型：GET

`Certificate`

下載「資料流量記錄器」所用的自簽「主要憑證管理中心」（PEM 檔案）。

URL: https://[server]:[port]/automation/Certificate
要求類型：GET