Welcome
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
HCL AppScan Traffic Recorder
HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.

Initiation
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan on Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
- A propos de l'analyse dynamique (DAST)
  Un examen ASoC dynamique (DAST) se compose de deux phases : exploration et test. Même si la majeure partie du processus d'examen est transparente pour l'utilisateur et qu'aucune entrée n'est nécessaire tant que l'examen n'est pas terminé, une bonne compréhension du fonctionnement de l'examen dynamique permet de mieux appréhender le rôle de l'examen dans votre processus de développement.
- Examen dynamique (DAST)
  ASoC peut effectuer un examen dynamique d'une application qui s'exécute dans un navigateur ou une API Web. Utilisez les options de configuration disponibles pour une application Web ou une API Web dans ASoC ou chargez une configuration AppScan Standard (modèle de fichier) ou un fichier d'examen complet.
- AppScan Presence
  Une instance AppScan Presence sur votre serveur vous permet d'examiner les sites non accessibles depuis Internet, et d'intégrer l'examen dans vos de test fonctionnel .
- Enregistrement du trafic
  Vous pouvez enregistrer le trafic en tant que données d'exploration enregistrée pour les examens DAST à l'aide de l'extension de navigateur AppScan Activity Recorder (pour Chrome ou Edge), du serveur proxy HCL AppScan Traffic Recorder ou d'AppScan Standard.
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.
  - Configuration système requise
  - Installation de HCL AppScan Traffic Recorder
  - Configuration de l'enregistreur de trafic
    Modifications que vous pouvez apporter au fichier de configuration Settings.json pour l'utiliser avec HCL AppScan Traffic Recorder
  - Démarrage et arrêt de l'enregistreur de trafic
    Vous pouvez démarrer l'enregistreur de trafic ou l'exécuter en tant que service. Vous ne pouvez pas faire les deux en parallèle.
  - Utilisation de la HCL AppScan Traffic Recorder
    Une fois que l'HCL AppScan Traffic Recorder a démarré, vous pouvez lancer de nouvelles instances pour enregistrer le trafic de votre application.
  - Commandes de l'API
- IAST Total
  IAST Total (test interactif de sécurité des applications) exploite les capacités IAST pour améliorer les analyses dynamiques (DAST), ce qui réduit les temps d'examen et de résolution tout en découvrant un plus large éventail de vulnérabilités.
- AppScan Standard
- Sites privés
  La présence d'une instance AppScan Presence sur votre serveur vous permet d'examiner des sites non accessibles depuis Internet .
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Serveur Model Context Protocol (MCP) AppScan
Le serveur MCP AppScan intègre HCL AppScan on Cloud directement aux agents et environnements de développement basés sur l'IA. En implémentant le protocole MCP (Model Context Protocol), ce serveur permet aux LLM (tels que Claude ou les modèles s'exécutant dans le code VS) d'accéder en toute sécurité à vos données de sécurité, y compris les résultats SAST, DAST, SCA et IAST, afin de vous aider à trier les problèmes, à analyser les résultats et à automatiser les flux de travaux en langage naturel.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

HCL AppScan Traffic Recorder

HCL AppScan Traffic Recorder (proxy DAST) vous permet d'enregistrer du trafic et de l'utiliser en tant que données d'exploration. Des instances de l'enregistreur de trafic peuvent être créées à la demande pour enregistrer le trafic qui sera ensuite utilisé pour un examen DAST.

Dans l'univers des DevOps, il est de plus en plus important de pouvoir intégrer des examens de sécurité à vos processus CI/CD. Si vous utilisez une infrastructure d'automatisation (comme Selenium), vous pouvez tirer parti des scripts déjà créés pour préparer des examens personnalisés.

A l'aide de HCL AppScan Traffic Recorder, vous pouvez démarrer automatiquement une instance de l'enregistreur de trafic. Les requêtes adressées à l'application Web par la structure d'automatisation sont enregistrées à mesure qu'elles sont transmises par l'enregistreur. Le trafic est enregistré au format HAR dans un fichier portant le suffixe DAST.CONFIG, que vous pouvez charger ultérieurement afin qu'il soit utilisé par AppScan comme données d'exploration pour un examen.
Vous pouvez également enregistrer le trafic manuellement, via l'enregistreur de trafic, pour créer un fichier DAST.CONFIG.
Pour charger votre propre fichier HAR dans AppScan on Cloud sans utiliser l'enregistreur de trafic, commencez par le compresser dans un fichier ZIP, puis remplacez l'extension du nom de fichier par dast.config.

Remarque : Clients AppScan 360° fédéraux américains : Le lien HCL AppScan Traffic Recorder vous redirige vers AppScan on Cloud, où le téléchargement commence automatiquement. Le téléchargement de l'enregistreur de trafic à l'aide de cette méthode n'est pas compatible avec CFIUS. Contactez l'assistance fédérale de HCL (+1-855-855-5016) pour plus d'informations.