本節說明主 AppScan on Cloud 功能表列上的項目,以及更詳細資訊的連結。
組織是管理原則、網域、設定、訂閱和審核追蹤的首選中心,您可以在此控制和組織所有項目。
歡迎使用 HCL AppScan on Cloud 說明文件,您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
首頁會顯示您的關聯資產群組與應用程式,以及貴組織中屬於您所獲指派之資產群組的最近應用程式與掃描。在首頁中,您可以選取其中一個最新的應用程式或掃描,或分別在「應用程式」頁面和「掃描及階段作業」頁面檢視所有應用程式與所有掃描。「新增功能」區段中會列出 ASoC 的最新更新。
應用程式頁面會列出組織中您獲指派的資產群組內的所有應用程式。從應用程式頁面,您可以建立新的應用程式,並開啟個別的應用程式頁面。
此視圖會列出您所有應用程式中的所有掃描和階段作業。
在與應用程式相關的開放原始碼程式庫上搜尋、檢閱並採取行動。
主儀表板是主功能表列上的第四個項目。它提供作用中問題、MTTR 問題、應用程式及掃描的詳細概覽,以及顯示應用程式整體狀態的圖形和圖表。
您可以套用預先定義的相符性原則以及您自己的自訂相符性原則,以只顯示與您相關的問題資料。
DAST 範本功能可簡化動態應用程式安全測試 (DAST) 掃描範本的管理與使用。您可以將 AppScan Standard 掃描檔案 (.scant) 或 DAST 範本直接上傳至 ASoC。這可將範本集中管理,讓所有 ASoC 使用者都能重複使用,而不需儲存在個別桌面上。
測試原則是網路應用程式安全掃描設定的清單。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則,但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。您也可以上傳在 AppScan Standard 和 AppScan Enterprise 中建立的自訂測試原則。
「網域」視圖會列出您有權執行動態 (DAST) 掃描的網域。根據您的訂閱,您會看到「網域」管理頁面或「網域」驗證頁面。
「設定」可協助您導覽並有效率地設定組織與資料中心內的設定。
定義使用者、應用程式、原則與配置 DevOps 整合。
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境,則會借助「專用網站掃描」技術的輔助,掃描無法透過開放網際網路存取的應用程式。
使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。
AppScan MCP 伺服器可將 HCL AppScan on Cloud 直接整合至 AI 驅動的開發環境和代理程式。透過實作模型上下文通訊協定 (MCP),此伺服器可讓 LLM(例如 Claude 或在 VS Code 中執行的模型)安全地存取您的安全資料(包括 SAST、DAST、SCA 和 IAST 結果),以協助您分類問題、分析發現項目,並使用自然語言將工作流程自動化。
如果您遇到此服務方面的問題,可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊,以及 ASoC API 說明文件。
