REST API

内置的 REST API 接口向您提供了可视化 RESTful Web 服务的方法。API 文档可使用 Swagger 构建,在其中能够测试 API 操作并立即查看结果,从而帮助您更快地扫描应用程序。

开始之前

注: 请求速率限制:您每分钟最多可以从每个唯一的 IP 地址发出 500 个请求。如果超过此限制,则 AppScan 将显示 403 状态代码和特定于浏览器的响应。
重要: REST API v4 现已发布!

我们很高兴地宣布发布 REST API v4,为您带来改进的性能和增强的功能。对于使用自动化脚本在 AppScan on Cloud 上执行各种任务的用户来说,此 API 是一个重要工具。

要点:

  1. 过渡期:当前 v2 版本将在接下来的几个月内保持正常运行。但是,我们鼓励用户主动更新脚本,以畅享 API v4 全新推出的功能以及经过改进的功能。

  2. 迁移帮助:为便于无缝过渡到更新的 API,请参阅提供的技术概述。此概述包含确保迁移流程顺利进行的基本信息与指导。

  3. API v2 可用性:API v2 将在 2024 年 7 月 30 日前保持可用。这种可用性已延期,旨在让用户拥有充足的时间来迁移到 API v4。如果您通过自动化脚本使用 API,请确保已制定迁移计划,以免在指定日期之后发生中断。

关于此任务

通过遵循该示例来了解如何使用交互式框架来通过使用 /api/v4/Apps/ImportFile REST API 导入应用程序库存。

过程

  1. 转至 Swagger 页面,并将其加入书签以备将来参考。
  2. 使用您的 HCL 标识登录到 Swagger。
    1. 展开帐户 API 并单击 POST api/v4/Account/ApiKeyLogin 以展开操作详细信息。
      显示使用 API 密钥登录的 POST API
    2. "string" 参数替换为您的 API 密钥标识和 API 密钥密码。保留引号。
    3. 单击执行
    4. 响应正文复制 "Token" 值。显示令牌的响应正文
    5. 将其粘贴到 Swagger 界面顶部的访问令牌字段中。
      从现在开始,令牌将自动应用于所有 API 调用。
  3. 创建资产组:
    1. 展开资产组 API 并单击 POST /api/v4/AssetGroups
    2. "string" 参数替换为资产组的名称和描述。保留引号。创建资产组 API
    3. 单击执行
    4. 记下响应正文部分中的标识;您需要在下一个 API 中使用该标识。
      从响应正文复制标识
  4. 导入应用程序清单文件:
    1. 展开应用程序 API 并单击 POST /api/v4/Apps/ImportFile
      实施部分中,有一个样本文件,可下载该文件以了解文件中包含的属性类型。
    2. 参数部分的 Value 字段中输入来自步骤 3d 的 assetGroupId
    3. 单击 uploadedFile 部分中的浏览,找到要导入的应用程序 CSV 文件。
    4. 单击执行
      成功导入如下所示:成功应用程序导入

示例

使用 REST API 导入扫描文件(包括结果)
您可通过以下步骤导入扫描文件(包括结果),而不在 AppScan on Cloud 中运行扫描:
  1. 确保您使用 API api/v4/Account/ApiKeyLogin 登录到 Swagger。
  2. 使用 API api/v4/FileUpload 上载扫描文件,并保存文件标识以备后续使用。例如,

    "FileId": "274bd3a7-a231-41d0-80f6-d22d684af50d"

  3. 展开扫描 API 并单击 POST /api/v4/Scans/Dast。更新以下参数以仅生成报告而不运行扫描。
    1. 扫描或模板文件标识:更新您在步骤 2 中复制的文件标识

      "ScanOrTemplateFileId": "274bd3a7-a231-41d0-80f6-d22d684af50d"

    2. 测试操作:将其设置为 ReportOnly

      "TestOperation": "ReportOnly"

    注: 确保已映射 AppID、ScanName 以及运行 API POST /api/v4/Scans/Dast 所需的其他参数。