Welcome
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
動態掃描 (DAST)
ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
- 關於動態分析 (DAST)
  ASoC 動態 (DAST) 掃描由兩個階段組成：「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢，而且在掃描完成前不需要輸入，但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。
- 動態掃描 (DAST)
  ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
  - 建立 Web 應用程式掃描
    提供掃描的「起始 URL」和使用者認證、選取網站類型，以及（如果先前沒有這麼做的話）驗證您掃描網站的許可權。
  - 建立 LLM 掃描
    設定供應商存取權限，擷取具代表性的 LLM 序列，啟用所需功能，並在受控測試環境中執行掃描。
  - 建立 API 掃描
    ASoC 支援用於掃描 Web API 的不同工作流程。如果您對 Web API 有 Postman 集合、OpenAPI 規格檔或記錄的流量，可以透過使用 API 掃描配置來將其匯入並作為掃描基礎。或者，您也可以將 Postman 集合檔案或 OpenAPI 規格檔與 REST API 搭配使用。
  - 從範本中建立掃描
    您可以上傳自己的 AppScan Standard 範本 (SCANT) 檔案，或使用與您的應用程式相關聯的已儲存範本來執行 ASoC 掃描。
  - 從掃描檔案中建立掃描
    您可以上傳自己的 AppScan Standard 掃描 (SCAN) 檔，以執行 ASoC 掃描。
  - 建立增量掃描
  - 回復掃描
    若掃描因與掃描本身無直接關聯的外部問題而失敗或僅部分完成，您可在解決該外部問題後回復掃描，例如掃描期間發生伺服器中斷問題。
  - 測試自動化
    在功能測試中納入動態掃描。
  - 用戶端憑證
  - 智慧型發現項目分析 (IFA)
    智慧型發現項目分析 (IFA) 運用人工智慧 (AI) 和機器學習 (ML) 分析資料、找出模式並進行預測，最終將資料轉換為可據以實行的洞察資訊。IFA 透過先進的方法來尋找更深入的涵義並做出明智的決策，進而超越一般資料分析。
- AppScan Presence 進行私有網站掃描
  您伺服器上的 AppScan Presence 可讓您掃描無法從隔離網路區段之網際網路存取的網站，，並可將掃描納入您的功能測試。
- 記錄資料流量
  您可以使用 AppScan 活動記錄器瀏覽器擴充功能（適用於 Chrome 或 Edge）、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard，將流量記錄為 DAST 掃描的已記錄探索資料。
- HCL AppScan 資料流量記錄器
  HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量，以當作探索資料使用。您可以依需求建立資料流量記錄器實例，以記錄稍後將用於 DAST 掃描的資料流量。
- IAST 總計
  「IAST 總計」（互動式應用程式安全測試）運用 IAST 功能增強動態分析（DAST）掃描，改善掃描與補救時間，同時發現更廣泛的漏洞。
- AppScan Standard
- 私有網站
  在您伺服器上的 AppScan Presence，可讓您掃描無法從網際網路存取的網站。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
AppScan 模型上下文通訊協定 (MCP) 伺服器
AppScan MCP 伺服器可將 HCL AppScan on Cloud 直接整合至 AI 驅動的開發環境和代理程式。透過實作模型上下文通訊協定 (MCP)，此伺服器可讓 LLM（例如 Claude 或在 VS Code 中執行的模型）安全地存取您的安全資料（包括 SAST、DAST、SCA 和 IAST 結果），以協助您分類問題、分析發現項目，並使用自然語言將工作流程自動化。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

動態掃描 (DAST)

ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。

DAST 掃描精靈提供下列方法：


選項	說明
選取掃描方法
掃描 Web 應用程式	使用精靈選項，以在 ASoC 中配置及執行掃描。若有需要，上傳登入程序的記錄。上傳資料流量檔案 (DAST.CONFIG)，確保涵蓋到應用程式的特定部分。建立 Web 應用程式掃描
API 掃描	使用精靈選項，以在 ASoC 中配置及執行掃描。建立 API 掃描上傳 Postman 集合上傳記錄的流量檔案 (DAST.CONFIG)
從檔案掃描
儲存的範本	若您有儲存的 AppScan Standard 範本 (SCANT) 檔案，便可用來做為 ASoC 掃描的配置。您可以視需求編輯掃描配置。這可讓您使用 AppScan Standard 中所有可用的配置選項。AppScan Standard 範本也包含登入記錄和多步驟配置。如需相關資訊，請參閱從範本檔案中建立掃描。
上傳範本或掃描檔案	上傳檔案您可以上傳範本 `(.SCANT)` 或掃描檔案 `(.SCAN)`。範本檔案：若您有 AppScan Standard 範本檔案 `(.SCANT)`，便可用來做為 ASoC 掃描的配置。您可以視需求編輯掃描配置。這可讓您使用 AppScan Standard 中所有可用的配置選項。AppScan Standard 範本也包含登入記錄和多步驟配置。如需相關資訊，請參閱從範本檔案中建立掃描。掃描檔案：若您有 AppScan Standard 掃描 (SCAN) 檔案，便可用來做為 ASoC 掃描的配置。「手動探索」、「多步驟」作業和 Web API 檔，例如儲存在 SCAN 檔的 Postman 集合，皆會包含進掃描中。您可以執行完整掃描，或使用檔案中的現有探索日期，僅執行掃描的測試階段。如需相關資訊，請參閱從掃描檔案中建立新掃描。
註： AppScan on Cloud 將檔案上傳限制為 2GB。

相關主題

如需動態分析已測試之「威脅分類」的清單及其相關 CWE，請參閱動態分析 (DAST)。