Welcome
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
動態掃描 (DAST)
AppScan 360° 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 AppScan 360° 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
建立 API 掃描
AppScan 360° 支援用於掃描 Web API 的不同工作流程。如果您對 Web API 有 Postman 集合、OpenAPI 規格檔或記錄的流量，可以透過使用 API 掃描配置來將其匯入並作為掃描基礎。或者，您也可以將 Postman 集合檔案或 OpenAPI 規格檔與 REST API 搭配使用。
使用 OpenAPI 規格檔
您可以使用 OpenAPI 規格檔來自動掃描您的 API。如此可確保掃描更徹底準確，有助於找出整個 API 中的潛在問題。

開始使用
歡迎使用 HCL AppScan 360° 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
安裝
瞭解 AppScan 360° 架構以及如何安裝產品。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
導覽
本節說明主 AppScan 360° 功能表列上的項目，以及更詳細資訊的連結。
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
- 關於動態分析 (DAST)
  AppScan 360° 動態 (DAST) 掃描由兩個階段組成：「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢，而且在掃描完成前不需要輸入，但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。
- 動態掃描 (DAST)
  AppScan 360° 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 AppScan 360° 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
  - 建立 Web 應用程式掃描
    提供掃描的「起始 URL」和使用者認證、選取網站類型，以及（如果先前沒有這麼做的話）驗證您掃描網站的許可權。
  - 建立 API 掃描
    AppScan 360° 支援用於掃描 Web API 的不同工作流程。如果您對 Web API 有 Postman 集合、OpenAPI 規格檔或記錄的流量，可以透過使用 API 掃描配置來將其匯入並作為掃描基礎。或者，您也可以將 Postman 集合檔案或 OpenAPI 規格檔與 REST API 搭配使用。
    - 使用 Postman 集合
      如果您對 Web API 有要求的 Postman 集合，可以透過使用 API 掃描配置精靈或 REST API 來將其匯入並用作掃描基礎。
    - 使用 OpenAPI 規格檔
      您可以使用 OpenAPI 規格檔來自動掃描您的 API。如此可確保掃描更徹底準確，有助於找出整個 API 中的潛在問題。
    - 使用記錄的流量
      如果您對 Web API 有記錄的流量，可以將其匯入並用作掃描基礎。例如，如果有不屬於 Postman 集合一部分的 API 端點，或者如果您有 API 功能自動化，您可以在 API 自動化執行時記錄流量，並將流量送往 AppScan 進行安全測試。
  - 從範本中建立掃描
    您可以上傳自己的 AppScan Standard 範本 (SCANT) 檔，以執行 AppScan 360° 掃描。
  - 從掃描檔案中建立掃描
    您可以上傳自己的 AppScan Standard 掃描 (SCAN) 檔，以執行 AppScan 360° 掃描。
  - 建立增量掃描
  - 測試原則
    測試原則是網路應用程式安全掃描設定的清單。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。您也可以上傳在 AppScan Standard 和 AppScan Enterprise 中建立的自訂測試原則。
  - 測試最佳化
    「測試最佳化」會使用智慧型發現項目分析 (IFA)，以實現更快的掃描，並將問題涵蓋範圍的損失降至最低。考慮速度時，請在四個最佳化等級之間選擇。
  - 測試自動化
    在功能測試中納入動態掃描。
  - 用戶端憑證
- 記錄資料流量
  您可以使用 AppScan 活動記錄器瀏覽器擴充功能（適用於 Chrome 或 Edge）、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard，將流量記錄為 DAST 掃描的已記錄探索資料。
- HCL AppScan 資料流量記錄器
  HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量，以當作探索資料使用。您可以依需求建立資料流量記錄器實例，以記錄稍後將用於 DAST 掃描的資料流量。
- AppScan Standard
- 動態分析的疑難排解
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，AppScan 360° 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
參照
將 AppScan 360° 整合至產品生命週期 (SDLC) 的一些常見問題與相關資訊。

使用 OpenAPI 規格檔建立 API 掃描

您可以使用 OpenAPI 規格檔來自動掃描您的 API。如此可確保掃描更徹底準確，有助於找出整個 API 中的潛在問題。

開始之前

在掃描之前先備份網站。
如果您尚未執行此操作，請為您的掃描建立應用程式。
如果您的網站無法在網際網路上存取，而且伺服器上還未存在 AppScan Presence ：建立 AppScan Presence。
如果要掃描即時正式作業網站，請先參閱掃描即時正式作業網站時，我應該進行哪些變更？

程序

在「應用程式」頁面上，按一下「建立掃描」，然後按一下「DAST 動態分析」下的「建立掃描」。
在「建立掃描: DAST」對話框，選擇「API 掃描」以開始設定。
選取 API 探索方法「OpenAPI」。
您可以將規格檔新增為 URL 或上傳該檔案。
1. 選擇「URL」，然後在「OpenAPI URL」欄位中輸入 URL。
2. 選取「檔案」，然後按一下「選取 OpenAPI 規格檔」，以從本端磁碟機選擇檔案，然後按一下「開啟」。
  註：
  - AppScan 僅接受 JSON 或 YAML 格式的規格檔。
  - AppScan 360° 將檔案上傳限制為 2GB。
在「基本 URL」欄位中，輸入已驗證或允許的網域。
根據需要配置其他掃描選項，例如鑑別、測試原則和其他進階設定。如需相關資訊，請參閱建立 API 掃描。
按一下「掃描」以執行掃描，偵測您的 Web API 中的任何漏洞。

下一步

您可以在掃描和階段作業頁面上檢視掃描狀態。