Welcome
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，AppScan 360° 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
部署 IAST
在應用程式伺服器上部署 IAST 代理程式，以便該代理程式可以監視與應用程式的通訊並向 AppScan 360° 報告。
部署 Node.js IAST 代理程式
您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上，部署 IAST 代理程式。本節說明如何在 Web 伺服器上建立 Node.js 代理程式。

開始使用
歡迎使用 HCL AppScan 360° 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
安裝
瞭解 AppScan 360° 架構以及如何安裝產品。
導覽
本節說明主 AppScan 360° 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，AppScan 360° 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
- 關於互動式監視 (IAST)
  AppScan 360° 可以監視一般應用程式執行時期行為，以便偵測漏洞。
- 啟動 IAST 階段作業
  在應用程式伺服器上安裝 IAST 代理程式，然後配置掃描。
- 部署 IAST
  在應用程式伺服器上部署 IAST 代理程式，以便該代理程式可以監視與應用程式的通訊並向 AppScan 360° 報告。
  - 部署 Java IAST 代理程式
    您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上，部署 IAST 代理程式。本節說明如何在 Web 伺服器上建立 Java 代理程式類型。
  - 部署 .NET IAST 代理程式
    您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上，部署 IAST 代理程式。本節說明如何在 Web 伺服器上建立 NET 代理程式類型。
  - 部署 Node.js IAST 代理程式
    您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上，部署 IAST 代理程式。本節說明如何在 Web 伺服器上建立 Node.js 代理程式。
  - 部署 PHP IAST 代理程式
    您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上，部署 IAST 代理程式。本節說明如何在 Web 伺服器上建立 PHP 代理程式類型。
- 在 Kubernetes 上部署
  AppScan 支援在 Kubernetes 叢集上自動安裝 IAST 代理程式。若使用 MutatingAdmissionWebhook，IAST 代理程式會自動安裝在任何啟動的 Pod 中。您可以使用 Helm 或 Webhook 指令碼安裝或移除代理程式。
- 在 Azure App Service 上部署
  使用 IAST 代理程式監控在 Azure App Service 上執行的應用程式。
- 使用 IAST 代理程式執行 OWASP Benchmark
- 使用 REST API 的 IAST
  透過 REST API 配置並啟動 IAST 掃描，包括代理程式部署。
- IAST 配置檔
  配置 JSON 檔案來覆寫預設 IAST 設定，並且只報告您想要知道的漏洞。
- 使用者設定
  部分低階 IAST 行為可用使用者參數來控制。
- IAST 掃描結果
  互動式 (IAST) 掃描項目顯示自上次啟動掃描以來的結果。
- IAST 疑難排解
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
AppScan 模型上下文通訊協定 (MCP) 伺服器
AppScan MCP 伺服器可將 HCL AppScan 360° 直接整合至 AI 驅動的開發環境和代理程式。透過實作模型上下文通訊協定 (MCP)，此伺服器可讓 LLM（例如 Claude 或在 VS Code 中執行的模型）安全地存取您的安全資料（包括 SAST、DAST、SCA 和 IAST 結果），以協助您分類問題、分析發現項目，並使用自然語言將工作流程自動化。
參照
將 AppScan 360° 整合至產品生命週期 (SDLC) 的一些常見問題與相關資訊。

部署 Node.js IAST 代理程式

您可以在支援 Java、.NET、Node.js 或 PHP 型應用程式的應用程式伺服器上，部署 IAST 代理程式。本節說明如何在 Web 伺服器上建立 Node.js 代理程式。

執行這項作業的原因和時機

可使用下列其中一種選項來建立 Node.js 代理程式：

Node.js（從 npm 取得代理程式）：使用從 ASoC 取得的金鑰，從公開 npm 登錄擷取代理程式。建議用於具有網際網路連線且可存取 npm 登錄的環境。
Node.js（下載代理程式）：從 ASoC 下載 Node.js 代理程式（以自包含 tarball 形式提供），可在無法存取 npm 的情況下安裝。建議用於實體隔離網路或受限制環境，亦即無法存取公開 npm 登錄的情況。

從 npm 安裝代理程式

執行這項作業的原因和時機

使用 Node.js（從 npm 取得代理程式）選項建立 IAST 代理程式。

程序

產生 Node.js 代理程式的金鑰（透過使用者介面或 API）。
在 Web 伺服器上：
1. 從公開 npm 儲存庫安裝代理程式：
```
npm install @hclsoftware/secagent
```
2. 新增下列環境變數：
  - IAST_ACCESS_TOKEN: [key]
  - IAST_HOST: as shown in the instructions (e.g. https://cloud.appscan.com/IAST)
藉由找到這一行來編輯 package.json：
```
"start": "node index.js",
```
然後將它取代如下：
```
"start": "node -r @hclsoftware/secagent/src/Iast.js index.js",
```
註：或者，您可以將金鑰新增至 packing.json 指令，如下所示：
- Windows："start": "set IAST_ACCESS_TOKEN=12345 && node -r @hclsoftware/secagent/src/Iast.js index.js"
- Linux："start": "IAST_ACCESS_TOKEN=12354 node -r @hclsoftware/secagent/src/Iast.js index.js"
提示：如果您使用「下一步」來執行應用程式，則可以在原始指令之前使用 NODE_OPTIONS 環境變數執行 IAST 代理程式，例如：NODE_OPTIONS='-r @hclsoftware/secagent/src/Iast.js' next app.js
使用 npm start 啟動應用程式。

結果

IAST 代理程式會在您使用或測試應用程式時監視要求，並回報安全問題（例如執行功能測試、執行動態掃描，或手動探索應用程式）。

從自包含套件安裝

執行這項作業的原因和時機

使用 Node.js（下載代理程式）選項建立 IAST 代理程式。

程序

在您的 Web 伺服器上，從已下載的檔案安裝代理程式：
```
npm install hclsoftware-secagent.tgz
```
藉由找到這一行來編輯 package.json：
```
"start": "node index.js",
```
然後將它取代如下：
```
"start": "node -r @hclsoftware/secagent/src/Iast.js index.js",
```
提示：如果您使用「下一步」來執行應用程式，則可以在原始指令之前使用 NODE_OPTIONS 環境變數執行 IAST 代理程式，例如：NODE_OPTIONS='-r @hclsoftware/secagent/src/Iast.js' next app.js
使用 npm start 啟動應用程式。

結果

IAST 代理程式會在您使用或測試應用程式時監視要求，並回報安全問題（例如執行功能測試、執行動態掃描，或手動探索應用程式）。