Welcome
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
IAST エージェントのデプロイ
IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
Node.js IAST エージェントのデプロイ
Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで Node.js エージェント・タイプを作成する方法について説明します。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
- インタラクティブ監視 (IAST) について
  ASoC は、通常のアプリケーション・ランタイム動作を監視し、脆弱性を検出できます。
- IAST セッションの開始
  アプリケーション・サーバーに IAST エージェントをデプロイし、スキャンを設定します。
- IAST エージェントのデプロイ
  IAST エージェントがアプリケーションとの通信を監視し、ASoC にレポートできるように、アプリケーション・サーバーに IAST エージェントをデプロイします。
  - Java IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーに Java エージェント・タイプを作成する方法について説明します。
  - .NET IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで .NET エージェント・タイプを作成する方法について説明します。
  - Node.js IAST エージェントのデプロイ
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで Node.js エージェント・タイプを作成する方法について説明します。
  - PHP IAST エージェントの配置
    Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで PHP エージェント・タイプを作成する方法について説明します。
- Kubernetes でのデプロイ
  AppScan は、Kubernetes クラスターへの IAST エージェントの自動インストールをサポートしています。MutatingAdmissionWebhook を使用すると、IAST エージェントはすべての開始ポッドに自動的にインストールされます。
- Azure App Service での配置
  IAST エージェントを使用して、Azure App Service で実行されるアプリケーションを監視します。
- IAST エージェントでの OWASP ベンチマーク
- REST API を使用した IAST
  REST API により、エージェントの配置など、IAST スキャンを構成および開始します。
- IAST 構成ファイル
  デフォルトの IAST 設定をオーバーライドして、把握したい脆弱性のみをレポートするように JSON ファイルを構成します。
- ユーザー設定
  一部の低レベルの IAST 動作は、ユーザー・パラメーターを使用して制御できます。
- IAST スキャン結果
  インタラクティブ (IAST) スキャン・エントリーには、前回のスキャンが開始された後の結果が示されます。
- IAST のトラブルシューティング
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

Node.js IAST エージェントのデプロイ

Java、.NET、Node.js または PHP ベースのアプリケーションをサポートするアプリケーション・サーバーに IAST エージェントを配置できます。このセクションでは、Web サーバーで Node.js エージェント・タイプを作成する方法について説明します。

手順

(ユーザー・インターフェースまたは API を使用して) Node.js エージェントのキーを生成します。
Web サーバー上で、以下の操作を行います。
1. 環境変数 IAST_ACCESS_TOKEN: [key] を追加します。
2. コマンド・プロンプトを表示して、次を実行します。
```
npm install --save @hclsoftware/secagent
```
3. 次の行を見つけて package.json を編集します。
```
"start": "node index.js",
```
  これを次のとおりに編集します。
```
"start": "node -r @hclsoftware/secagent/src/Iast.js index.js",
```
注: または、キーを package.json コマンドに以下のように追加することもできます。
- Windows: "start": "set IAST_ACCESS_TOKEN=12345 && node -r @hclsoftware/secagent/src/Iast.js index.js"
- Linux: "start": "IAST_ACCESS_TOKEN=12354 node -r @hclsoftware/secagent/src/Iast.js index.js"
ヒント: Next を使用してアプリケーションを実行する場合、IAST エージェントは、元のコマンドの前に NODE_OPTIONS 環境変数を使用して実行できます。例: NODE_OPTIONS='-r @hclsoftware/secagent/src/Iast.js' next app.js
npm start を使用してアプリケーションを開始します。

これでエージェントがインストールされました。アプリケーションを使用したりテストしたり (機能テストの実行、動的スキャン、またはアプリケーションの手動探査) すると、IAST エージェントによって要求が監視され、検出されたセキュリティー問題がレポートされます。