Welcome
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
動態掃描 (DAST)
ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
測試原則
測試原則是網路應用程式安全掃描設定的清單。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。您也可以上傳在 AppScan Standard 和 AppScan Enterprise 中建立的自訂測試原則。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
- 關於動態分析 (DAST)
  ASoC 動態 (DAST) 掃描由兩個階段組成：「探索」和「測試」。雖然大多數掃描程序對使用者而言都很順暢，而且在掃描完成前不需要輸入，但瞭解動態掃描的運作方式有助於您更瞭解掃描在開發程序中所扮演的角色。
- 動態掃描 (DAST)
  ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中 Web 應用程式或 Web API 可以使用的配置選項，或上傳 AppScan Standard 配置（範本檔案）或完整掃描檔。
  - 建立 Web 應用程式掃描
    提供掃描的「起始 URL」和使用者認證、選取網站類型，以及（如果先前沒有這麼做的話）驗證您掃描網站的許可權。
  - 建立 API 掃描
    ASoC 支援用於掃描 Web API 的不同工作流程。如果您對 Web API 有 Postman 集合、OpenAPI 規格檔或記錄的流量，可以透過使用 API 掃描配置來將其匯入並作為掃描基礎。或者，您也可以將 Postman 集合檔案或 OpenAPI 規格檔與 REST API 搭配使用。
  - 從範本中建立掃描
    您可以上傳自己的 AppScan Standard 範本 (SCANT) 檔，以執行 ASoC 掃描。
  - 從掃描檔案中建立掃描
    您可以上傳自己的 AppScan Standard 掃描 (SCAN) 檔，以執行 ASoC 掃描。
  - 建立增量掃描
  - 測試原則
    測試原則是網路應用程式安全掃描設定的清單。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。您也可以上傳在 AppScan Standard 和 AppScan Enterprise 中建立的自訂測試原則。
  - 測試自動化
    在功能測試中納入動態掃描。
  - 用戶端憑證
  - 智慧型發現項目分析 (IFA)
    智慧型發現項目分析 (IFA) 運用人工智慧 (AI) 和機器學習 (ML) 分析資料、找出模式並進行預測，最終將資料轉換為可據以實行的洞察資訊。IFA 透過先進的方法來尋找更深入的涵義並做出明智的決策，進而超越一般資料分析。
- AppScan Presence
  伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站，以及在功能測試的程序中納入掃描。
- 記錄資料流量
  您可以使用 AppScan 活動記錄器瀏覽器擴充功能（適用於 Chrome 或 Edge）、HCL AppScan 資料流量記錄器 Proxy 伺服器或 AppScan Standard，將流量記錄為 DAST 掃描的已記錄探索資料。
- HCL AppScan 資料流量記錄器
  HCL AppScan 資料流量記錄器 (DAST Proxy) 可讓您記錄資料流量，以當作探索資料使用。您可以依需求建立資料流量記錄器實例，以記錄稍後將用於 DAST 掃描的資料流量。
- IAST 總計
  「IAST 總計」（互動式應用程式安全測試）運用 IAST 功能增強動態分析（DAST）掃描，改善掃描與補救時間，同時發現更廣泛的漏洞。
- AppScan Standard
- 私有網站
  您伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

測試原則

測試原則是網路應用程式安全掃描設定的清單。您可以選取在從 ASoC 使用者介面執行掃描時可用的其中一個預先定義的測試原則，但其他原則可以藉由匯入的掃描或從 API 執行的掃描套用。您也可以上傳在 AppScan Standard 和 AppScan Enterprise 中建立的自訂測試原則。

網站所可能有的 AppScan 測試數目可以達到數千個。您可以設定想要在應用程式上執行之測試類型的「原則」，而不需要手動過濾大量的測試和測試變式。

測試原則要在 DAST 掃描設定中進行配置。

預先定義的測試原則


原則名稱	說明
完成	包含所有可能的測試。
預設	包含侵入性測試及埠接聽器測試以外的所有測試。
2021 年 OWASP 前 10	包含 OWASP 對映的最新前 10 大漏洞種類的所有測試。
2023 年 OWASP 前 10 大 API 安全風險	包含 OWASP 對映的最新前 10 大 API 漏洞種類的所有測試。
正式作業網站	排除可能會損壞網站的侵入式測試，或是可能會導致其他使用者發生「阻斷服務」的測試。

提示：如果將測試最佳化套用至掃描配置，則所選取原則中的部分漏洞可能無法進行測試。因此，如果您是使用完整的測試原則，且想要傳送其所有測試，則應將測試最佳化設定為不進行最佳化。

新增測試原則

您現在可以新增使用 AppScan Standard 和 AppScan Enterprise 建立的自訂測試原則。

在「測試原則」頁面，按一下「新增測試原則」。
輸入測試原則名稱，並可選擇加入說明。
按一下「選取檔案」，以瀏覽並開啟原則檔案。
您還可以選擇將此原則設為預設測試原則。
按一下儲存。

自訂測試原則隨即新增，供您在 DAST 掃描設定期間使用。

另請參閱：測試最佳化常見問題