Welcome
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
DevOps
ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
REST API
組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API 資料は Swagger を使用して作成されています。この資料を使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
OData
このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
例と参考資料

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
- ユーザー
  ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
- アプリケーション
  アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
- コンプライアンス・ポリシー
  事前定義されたコンプライアンス・ポリシーや独自のカスタム・コンプライアンス・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
- DevOps
  ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
  - REST API
    組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API 資料は Swagger を使用して作成されています。この資料を使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
    - REST API v4 へのアップグレードの技術概要
      バージョン 4.0 の REST API では、以前のバージョン (v2) に比べて多くの機能強化、最適化、改善が行われています。API v4 は v2 と同じアクセス・トークンを使用することで互換性を維持し、既存のトークンを引き続き使用しながらコードを v4に徐々に移行します。特に、API v4 のパス・プレフィックスが「/api/v2」から「/api/v4/」に変更されています。多くの関数は名前とモデルを保持しているため、「v2」から「v4」への単純な移行が保証されていますが、一部の関数は変更されています。このトピックは、API v4 で導入された主な変更点の概要を示すテクニカル・ガイドの役割を果たします。
    - API キーの生成
      キー ID とキー・シークレットを使用して AppScan on Cloud の REST API にアクセスし、ASoC クライアント・ツール (Jenkins プラグイン、Static Analyzer コマンド行ユーティリティー、IDE プラグインなど) のいずれかからログインします。
    - OData
      このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
      - よく使用される OData クエリー・パラメーター
      - $filter パラメーター
        $filter は、最も多彩な OData パラメーターであり、多数の演算子があります。
      - 例と参考資料
    - CSV にエクスポート
      このセクションでは、応答データを CSV 形式で保存する方法について説明します。
  - Webhook
    Webhook により、AppScan on Cloud で発生したイベントに関する通知を受け取れるようになりました。
  - 統合
- 個人スキャン
  個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
- スキャン状況
- 監査証跡
  監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティを記録します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

例と参考資料

アプリケーションの例

失敗したポリシーが少なくとも 1 つあるアプリケーションの名前を挙げるには、次のように指定します。https://cloud.appscan.com/api/v4/Apps?$filter=ComplianceStatuses/any(d:d/Compliant+eq+false)&$select=Name
重大度が「高」の新規の問題があるアプリケーションをリストするには、次のように指定します。https://cloud.appscan.com/api/v4/Apps?$filter=RiskRating+eq+'Critical'+and+NewIssues+gt+0
2024 年 1 月 1 日以降に作成されたアプリケーションの名前、ID、作成日を挙げるには、次のように指定します。https://cloud.appscan.com/api/v4/Apps?$filter=DateCreated+gt+'2024-01-01z'+&$select=Name,Id,DateCreated

スキャン例

「準備完了」の状態で完了し、個人として分類されていない個人スキャンを挙げるには、次のように指定します。https://cloud.appscan.com/api/v4/Scans?$filter=LatestExecution/Status+eq+'Ready'+and+IsPersonal+eq+true
スキャン名に「Jenkins」とい言葉が含まれているすべてのスキャンを取得するには、次のように指定します。https://cloud.appscan.com/api/v4/Scans?$filter=contains(Name,'jenkins') 文字列検索は常に大文字と小文字を区別しないことに注意してください。

参考資料