跳转到主要内容
開始使用
歡迎使用 HCL AppScan on Cloud 說明文件,您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
關於 HCL AppScan on Cloud
安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊,例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
角色和工作流程
瞭解具有有效的訂閱,不同授權 ASoC 使用者的不同 ASoC 任務和工作流程。
新增功能 AppScan on Cloud
探索即將推出和最近新增的功能。
系統需求
為 ASoC 分析人員提供系統需求、支援的作業系統和語言,並瞭解服務所支援的瀏覽器和最低解析度。
建立 ASoC 帳號
選取資料中心
訂閱
「我的訂閱」顯示貴組織所有訂閱的狀態,包含剩餘的應用程式或掃描數目,以及開始和結束日期。
範例應用程式與 Script
使用範例應用程式練習搭配 ASoC 一起掃描。
示範影片
這些「使用方法」影片示範如何使用 ASoC,以及它如何融入您的工作流程,並且提供提示和技巧。
聯絡和支援
真人與線上資源的實用連結。
憑證
版權
試用版使用條款
HCL APPSCAN ON CLOUD 服務的試用版合約
導覽
本節說明主 AppScan on Cloud 功能表列上的項目,以及更詳細資訊的連結。
所有應用程式
應用程式頁面會列出組織中您獲指派的資產群組內的所有應用程式。從應用程式頁面,您可以建立新的應用程式,並開啟個別的應用程式頁面。
掃描及階段作業
此視圖會列出您所有應用程式中的所有掃描和階段作業。
開放原始碼檔案庫
在與應用程式相關的開放原始碼檔案庫上搜尋、檢閱並採取行動。
儀表板
主儀表板是主功能表列上的第四個項目。它提供作用中問題、MTTR 問題、應用程式及掃描的詳細概覽,以及顯示應用程式整體狀態的圖形和圖表。
組織
組織是管理原則、網域、設定、訂閱和審核追蹤的首選中心,您可以在此控制和組織所有項目。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
使用者
使用者管理允許您控制對於機密應用程式的存取權,作法是將它們指派給資產群組,然後新增特定使用者至那些群組。
應用程式
應用程式是與相同專案相關的掃描集合。它可以是網站、桌面應用程式、行動應用程式、Web 服務或是應用程式的任何元件。應用程式可讓您評估風險、識別趨勢,並確保您的專案符合業界和組織原則的規範。
原則
您可以套用預先定義的原則以及您自己的自訂原則,以只顯示與您相關問題的資料。
DevOps
將 ASoC 納入軟體開發生命週期的工具。
個人掃描
個人掃描是評估開發中應用程式相對安全性的一種方式,不會影響整體應用程式掃描資料(例如問題)或相符性。
掃描狀態
稽核追蹤
稽核追蹤(組織 > 稽核追蹤)會記錄使用者活動。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境,則會借助「專用網站掃描」技術的輔助,掃描無法透過開放網際網路存取的應用程式。
關於動態分析 (DAST)
ASoC 動態 (DAST) 掃描由兩個階段組成:「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢,而且在掃描完成前不需要輸入,但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。
動態掃描 (DAST)
ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中的配置選項,或上傳 AppScan Standard 配置(範本檔案)或完整掃描檔。
AppScan Presence
伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站,以及在功能測試的程序中納入掃描。
記錄資料流量
您可以使用 AppScan 活動記錄器瀏覽器擴充功能(適用於 Chrome 或 Edge)、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard,將流量記錄為 DAST 掃描的探索資料。
HCL AppScan 資料流量記錄器
HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量,以當作探索資料使用。您可以依需求建立資料流量記錄器實例,以記錄稍後將用於 DAST 掃描的資料流量。
IAST 總計
「IAST 總計」(互動式應用程式安全測試)運用 IAST 功能增強動態分析(DAST)掃描,改善掃描與補救時間,同時發現更廣泛的漏洞。
AppScan Standard
私有網站
您伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站。
互動式監視
使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。
關於互動式監視 (IAST)
ASoC 可以監視一般應用程式執行時期行為,以便偵測漏洞。
啟動 IAST 階段作業
在應用程式伺服器上安裝 IAST 代理程式,然後配置掃描。
部署 IAST 代理程式
在應用程式伺服器上部署 IAST 代理程式,以便該代理程式可以監視與應用程式的通訊並向 ASoC 報告。
在 Kubernetes 上部署
AppScan 支援在 Kubernetes 叢集上自動安裝 IAST 代理程式。若使用 MutatingAdmissionWebhook,IAST 代理程式會自動安裝在任何啟動的 Pod 上。
在 Azure App Service 上部署
使用 IAST 代理程式監控在 Azure App Service 上執行的應用程式。
使用 IAST 代理程式執行 OWASP Benchmark
使用 REST API 的 IAST
透過 REST API 配置並啟動 IAST 掃描,包括代理程式部署。
IAST 配置檔
配置 JSON 檔案來覆寫預設 IAST 設定,並且只報告您想要知道的漏洞。
使用者設定
部分低階 IAST 行為可用使用者參數來控制。
IAST 掃描結果
互動式 (IAST) 掃描項目顯示自上次啟動掃描以來的結果。
IAST 疑難排解
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
關於軟體組成分析
軟體組合分析 (SCA) 會尋找並分析程式碼所使用的開放原始碼和第三方套件。
SCA 系統需求
當您執行開放原始碼測試時,ASoC 可掃描的檔案類型。
掃描式庫及第三方代碼以確認安全漏洞
若要掃描開放原始碼程式庫及第三方代碼以確認安全漏洞,請遵循這些主題中的步驟。
SCA 掃描結果
SCA 掃描結果中可用的功能。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
關於靜態分析 (SAST)
靜態分析的系統需求
支援的作業系統,以及當您執行靜態分析時,ASoC 可掃描的檔案類型、位置和專案。
掃描是否有安全漏洞
如果要掃描原始碼是否有安全漏洞,請遵循這些主題中的步驟。
範例應用程式與 Script
使用範例應用程式練習搭配 ASoC 一起掃描。
靜態分析疑難排解
如果您遇到靜態分析方面的問題,可以執行這些疑難排解工作,以判斷要採取的更正動作。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。
範例安全報告
應用程式報告
掃描資料
問題
應用程式的「問題」頁面,依預設只會顯示不符規範的問題。您可以套用各種過濾器來查看您需要的問題,並按一下任何問題來開啟詳細的問題資訊窗格。
相關性
AppScan 會分析 IAST、DAST 和 SAST 找到的問題,以識別程式碼(或相關性)的一般弱點連結,這些漏洞可透過單一或合併的補救程序解決。
修正程式群組
「修正程式群組」目前僅套用至在「靜態分析掃描」中發現的問題。
報告
產生在應用程式中發現之問題的報告。傳送報告給開發人員、內部審核員、滲透測試人員、經理及 CISO。安全資訊可能很廣泛,您可根據需求進行過濾。
修復
判定風險並設定漏洞優先順序之後,您的安全團隊便可展開補救程序。
重新掃描
在您的第一次掃描之後,當修正問題時,可以多次重新掃描相同的應用程式並改寫先前的結果;儀表板一律顯示目前的結果。當您重新掃描(不是起始新掃描)時,重新掃描會改寫前一個掃描。
IAST 掃描結果
互動式 (IAST) 掃描項目顯示自上次啟動掃描以來的結果。
疑難排解
如果您遇到此服務方面的問題,可以執行這些疑難排解工作來判定要採取的更正動作。
AppScan Presence 疑難排解
使用 AppScan Presence 時發現之錯誤的疑難排解作業。
IAST 疑難排解
靜態分析疑難排解
如果您遇到靜態分析方面的問題,可以執行這些疑難排解工作,以判斷要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊,以及 ASoC API 說明文件。
常見問題
一些常見的問題。
威脅分類和 CWE
表格顯示由 ASoC 測試之問題的威脅分類,及其相關 CWE 號碼。
CSV 格式
本節說明如何以 CSV 格式儲存回應資料。
通知