Welcome
动态分析
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境，专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
动态扫描 (DAST)
ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中可用于 Web 应用程序和 Web API 的配置选项，或者上载 AppScan Standard 配置（模板文件）或完整扫描文件。
创建 API 扫描
ASoC 支持用于扫描 Web API 的不同工作流。如果您有 Postman 集合、OpenAPI 规范文件或 Web API 流量记录文件，则您可通过 API 扫描配置将其导入并作为扫描基准。或者，您也可以通过 REST API 使用 Postman 集合文件或 OpenAPI 规范文件。
使用已记录流量
如果您有 Web API 的已记录流量，那么您可以将其导入并用作扫描的基础。例如，如果有不属于 Postman 集合的 API 端点，或者如果您有 API 功能自动化，则您可以在 API 自动化运行时记录流量，并将流量馈送到 AppScan 进行安全测试。

入门指南
欢迎使用 HCL AppScan on Cloud 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
导航
本部分将介绍主 AppScan on Cloud 菜单栏上的项目，以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
动态分析
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境，专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
- 关于动态分析 (DAST)
  ASoC 动态 (DAST) 扫描中包含两个阶段：探索和测试。即使大多数扫描过程对用户是无缝的，并且在扫描完成之前不需要输入，但了解动态扫描的工作方式可以帮助您更好地了解扫描在开发过程中的作用。
- 动态扫描 (DAST)
  ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中可用于 Web 应用程序和 Web API 的配置选项，或者上载 AppScan Standard 配置（模板文件）或完整扫描文件。
  - 创建 Web 应用程序扫描
    为扫描提供起始 URL 和用户凭证，选择站点类型，并验证您关于扫描站点的许可权（如果先前未执行）。
  - 创建 API 扫描
    ASoC 支持用于扫描 Web API 的不同工作流。如果您有 Postman 集合、OpenAPI 规范文件或 Web API 流量记录文件，则您可通过 API 扫描配置将其导入并作为扫描基准。或者，您也可以通过 REST API 使用 Postman 集合文件或 OpenAPI 规范文件。
    - 使用 Postman 集合
      如果您针对 Web API 的请求的 Postman 集合，那么您可以使用 API 扫描配置向导或 REST API 将其导入并用作扫描的基础。
    - 使用 OpenAPI 规范文件
      您可以使用 OpenAPI 规范文件自动扫描 API。这可确保实现更全面、更准确的扫描，有助于找到整个 API 中的潜在问题。
    - 使用已记录流量
      如果您有 Web API 的已记录流量，那么您可以将其导入并用作扫描的基础。例如，如果有不属于 Postman 集合的 API 端点，或者如果您有 API 功能自动化，则您可以在 API 自动化运行时记录流量，并将流量馈送到 AppScan 进行安全测试。
  - 根据模板创建扫描
    您可以上载自己的 AppScan Standard 模板 (SCANT) 文件以运行 ASoC 扫描。
  - 根据扫描文件创建扫描
    您可以上载自己的 AppScan Standard 扫描 (SCAN) 文件以运行 ASoC 扫描。
  - 创建增量扫描
  - 测试策略
    测试策略是一组 Web 应用程序安全扫描设置。从 ASoC 用户界面运行扫描时，您可以选择可用的预定义测试策略之一，但其他策略可应用于导入的扫描或从 API 运行的扫描。您还可以上载您在 AppScan Standard 和 AppScan Enterprise 中创建的定制测试策略。
  - 测试自动化
    在功能测试中加入动态扫描。
  - 客户机证书
  - 智能结果分析 (IFA)
    智能结果分析 (IFA) 使用人工智能 (AI) 和机器学习 (ML) 来分析数据、发现模式和进行预测，最终将数据转化为切实可行的见解。IFA 通过采用先进的方法，超越了常规数据分析，能够发现更深层次的含义并做出明智的决策。
- AppScan Presence
  服务器上的 AppScan Presence 使您能够扫描不可从因特网访问的站点，而且能够合并扫描以作为功能测试的一部分。
- 记录流量
  您可以使用 AppScan Activity Recorder 浏览器扩展（适用于 Chrome 或 Edge）、HCL AppScan 流量记录器代理服务器或 AppScan Standard 来记录流量，作为 DAST 扫描已记录的探索数据。
- HCL AppScan 流量记录器
  借助 HCL AppScan 流量记录器（DAST 代理），您可以记录流量以用作探索数据。可按需创建流量记录器实例，以记录稍后将用于 DAST 扫描的流量。
- IAST Total
  IAST Total（交互式应用程序安全测试）利用 IAST 功能增强动态分析 (DAST) 扫描效果，缩短扫描和修复时间，同时还能发现更广泛的漏洞。
- AppScan Standard
- 专用站点
  服务器上的 AppScan Presence 使您能够扫描无法从因特网访问的站点。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，ASoC 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
故障诊断
如果使用此服务时遇到问题，您可以执行这些故障诊断任务以确定要采取的纠正措施。
常见问题解答与参考资料
常见问题解答、有关将 ASoC 集成到产品生命周期 (SDLC) 的信息以及 ASoC API 文档。

使用已记录流量创建 API 扫描

如果您有 Web API 的已记录流量，那么您可以将其导入并用作扫描的基础。例如，如果有不属于 Postman 集合的 API 端点，或者如果您有 API 功能自动化，则您可以在 API 自动化运行时记录流量，并将流量馈送到 AppScan 进行安全测试。

开始之前

扫描前备份您的站点。
如果您尚未这样做，请为扫描创建应用程序。
使用 ASoC 验证您是否具有扫描域的许可权（请参阅验证域），或者您可以使用域管理对域进行授权而无需验证。
如果无法从因特网访问站点，而且 AppScan Presence 尚不存在于此服务器上：创建 AppScan Presence。
如果扫描实时生产站点，请先参阅我在扫描实时生产站点时应该进行哪些更改？

关于此任务

确保您拥有使用以下方法之一记录的已记录流量文件：

通过 Swagger UI 使用活动记录器记录
带有 Postman 或 SoapUI 的 AppScan Standard
使用流量记录器

对于 Web API，最佳选项通常是 HCL AppScan 流量记录器。

过程

在特定应用程序页中，单击创建扫描，然后单击 DAST 动态分析下的创建扫描。
在创建扫描：DAST 对话框中，选择 API 扫描以开始配置过程。
选择 API 探索方法“已记录流量”。
将文件拖放到标记区域，或单击“添加”图标以浏览并添加包含已记录流量的 dast.config 文件。
在“要测试的域”部分中，您必须添加要包括在扫描中的所有已验证/允许的域。这两种格式都有效：
- https://demo.testfire.net/
- demo.testfire.net
重要：未列出的域不会扫描。
根据需要配置其他扫描选项，例如认证、测试策略和其他高级设置。有关更多信息，请参阅创建 API 扫描。
单击扫描。将导入记录的流量文件。运行扫描以检测 Web API 中是否存在任何漏洞。

下一步做什么

您可以在扫描和会话页面上查看扫描的状态。