Welcome
动态分析
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境，专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
动态扫描 (DAST)
ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中可用于 Web 应用程序和 Web API 的配置选项，或者上载 AppScan Standard 配置（模板文件）或完整扫描文件。

入门指南
欢迎使用 HCL AppScan on Cloud 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
导航
本部分将介绍主 AppScan on Cloud 菜单栏上的项目，以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
动态分析
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境，专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
- 关于动态分析 (DAST)
  ASoC 动态 (DAST) 扫描中包含两个阶段：探索和测试。即使大多数扫描过程对用户是无缝的，并且在扫描完成之前不需要输入，但了解动态扫描的工作方式可以帮助您更好地了解扫描在开发过程中的作用。
- 动态扫描 (DAST)
  ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中可用于 Web 应用程序和 Web API 的配置选项，或者上载 AppScan Standard 配置（模板文件）或完整扫描文件。
  - 创建 Web 应用程序扫描
    为扫描提供起始 URL 和用户凭证，选择站点类型，并验证您关于扫描站点的许可权（如果先前未执行）。
  - 创建 API 扫描
    ASoC 支持用于扫描 Web API 的不同工作流。如果您有 Postman 集合、OpenAPI 规范文件或 Web API 流量记录文件，则您可通过 API 扫描配置将其导入并作为扫描基准。或者，您也可以通过 REST API 使用 Postman 集合文件或 OpenAPI 规范文件。
  - 根据模板创建扫描
    您可以上载自己的 AppScan Standard 模板 (SCANT) 文件以运行 ASoC 扫描。
  - 根据扫描文件创建扫描
    您可以上载自己的 AppScan Standard 扫描 (SCAN) 文件以运行 ASoC 扫描。
  - 创建增量扫描
  - 测试策略
    测试策略是一组 Web 应用程序安全扫描设置。从 ASoC 用户界面运行扫描时，您可以选择可用的预定义测试策略之一，但其他策略可应用于导入的扫描或从 API 运行的扫描。您还可以上载您在 AppScan Standard 和 AppScan Enterprise 中创建的定制测试策略。
  - 测试自动化
    在功能测试中加入动态扫描。
  - 客户机证书
  - 智能结果分析 (IFA)
    智能结果分析 (IFA) 使用人工智能 (AI) 和机器学习 (ML) 来分析数据、发现模式和进行预测，最终将数据转化为切实可行的见解。IFA 通过采用先进的方法，超越了常规数据分析，能够发现更深层次的含义并做出明智的决策。
- AppScan Presence
  服务器上的 AppScan Presence 使您能够扫描不可从因特网访问的站点，而且能够合并扫描以作为功能测试的一部分。
- 记录流量
  您可以使用 AppScan Activity Recorder 浏览器扩展（适用于 Chrome 或 Edge）、HCL AppScan 流量记录器代理服务器或 AppScan Standard 来记录流量，作为 DAST 扫描已记录的探索数据。
- HCL AppScan 流量记录器
  借助 HCL AppScan 流量记录器（DAST 代理），您可以记录流量以用作探索数据。可按需创建流量记录器实例，以记录稍后将用于 DAST 扫描的流量。
- IAST Total
  IAST Total（交互式应用程序安全测试）利用 IAST 功能增强动态分析 (DAST) 扫描效果，缩短扫描和修复时间，同时还能发现更广泛的漏洞。
- AppScan Standard
- 专用站点
  服务器上的 AppScan Presence 使您能够扫描无法从因特网访问的站点。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，ASoC 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
故障诊断
如果使用此服务时遇到问题，您可以执行这些故障诊断任务以确定要采取的纠正措施。
常见问题解答与参考资料
常见问题解答、有关将 ASoC 集成到产品生命周期 (SDLC) 的信息以及 ASoC API 文档。

动态扫描 (DAST)

ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中可用于 Web 应用程序和 Web API 的配置选项，或者上载 AppScan Standard 配置（模板文件）或完整扫描文件。

DAST 扫描向导提供了以下方法：


选项	描述
选择扫描方法
扫描 Web 应用程序	使用 ASoC 向导选项配置并运行扫描。如果需要，上载登录过程的记录。上载流量文件 (DAST.CONFIG) ，以确保覆盖应用程序的特定部分。创建 Web 应用程序扫描
API 扫描	使用 ASoC 向导选项配置并运行扫描。创建 API 扫描上载 Postman 集合上载已记录流量文件 (DAST.CONFIG)
从文件扫描
从模板	如果您具有 AppScan Standard 模板 (SCANT) 文件，那么可以将它用作 ASoC 扫描的配置。这使您能够从 AppScan Standard 中提供的所有配置选项中获益。AppScan Standard 模板还包括登录记录和多步骤配置。该模板不包括手动探索，但您可以上载流量记录 (DAST.CONFIG file)，以确保覆盖应用程序的特定部分。根据模板文件创建新扫描
从扫描文件	如果您具有 AppScan Standard 扫描 (SCAN) 文件，那么可以将它用作 ASoC 扫描的配置。该扫描文件包括手动探索、多步骤操作和 Web API 文件，例如保存在 SCAN 文件中的 Postman 集合。您可以运行完整扫描或使用文件中的现有探索日期并仅运行扫描的测试阶段。根据扫描文件创建新扫描
注： AppScan on Cloud 将文件上载限制为 2GB。

相关主题

有关在动态分析中测试的威胁类及其相关 CWE 的列表，请参阅动态分析。