Welcome
参考
查看该产品的参考信息。
“文件夹资源管理器”主题
了解“文件夹资源管理器”主题。
在文件夹资源管理器中创建扫描
了解如何在文件夹资源管理器中创建扫描。
通过高级配置选项优化扫描
使用此任务来配置具有复杂配置的高级扫描。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域，请使用该方法。
将静态分析数据与动态分析数据相关
从 AppScan® Source 导入数据以将其结果与现有动态分析安全扫描相关联（AppScan Enterprise Server 内容扫描作业或 AppScan Standard 导入作业）。
相关（混合分析）的工作方式
没有任何一种自动化分析技术可发现所有可能的漏洞；每种技术都有其自己的优点和弱点。动态分析安全测试 (DAST) 通过与黑客所使用的类似方法探测应用程序来测试正在运行的 Web 应用程序。静态分析安全测试 (SAST) 检查应用程序的源代码以发现可能的漏洞。
混合分析的最佳做法
但因为测试方法各有不同，所以相关百分比可能相对较低。每类分析的挑战和优点均不同，如下表中所述。

欢迎
欢迎使用 HCL AppScan Enterprise 10.10.0 文档，您可以在其中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
企业的AppScan®无障碍功能
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
- “配置向导”主题
  了解“配置向导”主题。
- “文件夹资源管理器”主题
  了解“文件夹资源管理器”主题。
  - 使用文件夹资源管理器
    了解如何使用文件夹资源管理器。
  - 在文件夹资源管理器中创建扫描
    了解如何在文件夹资源管理器中创建扫描。
    - 使用 AppScan Enterprise 中的扫描属性创建 QuickScan 模板
      QuickScan 模板包含内容扫描作业，或者导入作业以及报告包。在“文件夹”列表的“模板”文件夹中创建扫描模板后，它们将作为扫描模板自动提供给 QuickScan 用户或更高级的用户，这些用户已在“显示文件夹浏览器”列表中打开了“QuickScan 视图”。QuickScan 用户创建扫描时，作业和报告包将基于此模板创建，但对于 QuickScan 用户来说它们仅作为扫描出现。
    - 配置无安全测试的基本扫描
      使用该任务以最低配置来配置基本扫描。此扫描将在您的 Web 应用程序中自动发现更多要测试的 URL。对于具有许多静态链接并不需要大量用户交互的应用程序，请使用此方法。此扫描不会测试安全问题，但是可帮助您开始探索站点以确定完整站点覆盖范围。
    - 使用 AppScan Enterprise 中的扫描属性配置安全扫描
      应在预生产环境中（如登台服务器或“质量保证”服务器上）执行安全扫描。这样做有助于包含与执行安全扫描相关联的风险。预生成环境应该尽可能反映生产环境；应用程序在两个环境中应该具有相同的可执行文件，以便您知道在彻底测试暴露的应用程序。安全扫描还应该集成到软件开发生命周期 (SDLC) 过程中，以便可以在安全问题进入生产环境之前将其捕获。
    - 安全扫描的工作方式
      安全扫描有两个不同的阶段：探索和测试。
    - 安全测试的工作流程
      安全扫描需要认真配置，以便其可以找到 Web 应用程序上的所有 URL，然后测试其弱点。
    - Web API 扫描
      HCL AppScan Enterprise 是一款可扩展的企业解决方案，组织可借助它来管理针对 Web 应用程序和 Web API 的应用程序安全项目。它具有识别安全漏洞的前沿方法和技术，可帮助保护应用程序免受网络攻击的威胁。
    - JavaScript™ 源代码分析的工作方式
      JavaScript™ Security Analyzer (JSA) 执行静态 JavaScript 源代码分析来检测一系列客户机端问题（主要是基于 DOM 的跨站点脚本编制）。JSA 分析 AppScan® Enterprise 在“探索”阶段中收集的 HTML 页面。JSA 与“测试”阶段并行运行，或者可以随时手动对现有“探索”结果启动。
    - 通过高级配置选项优化扫描
      使用此任务来配置具有复杂配置的高级扫描。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域，请使用该方法。
      - 将额外的服务器和域添加到扫描中
        要说明其他域和多服务器环境，请将任何其他服务器和域添加到扫描的“扫描内容”页面。
      - 查找更多内容
        XRule 是用于增强对 Web 站点或应用程序的扫描以及搜索数据库中通过扫描收集到的信息的 XML 脚本。将其用于增强作业扫描站点的能力时，XRule 可以找到 Flash 文件中的链接以及 JavaScript™ 中动态创建的链接，或绕过登录例程。
      - 扫描 WebSphere® Portal
        指定要扫描的门户网站。
      - 设置扫描限制
        设置扫描限制以关注扫描。您可以按页数、冗余内容路径或单击深度来限制扫描。
      - 从扫描中排除 URL
        排除用于在扫描期间从分析中排除特定文件、目录或文件类型。在分析站点的某部分时可能会为整体扫描结果带来负面影响，这可能是因为该部分正在构造中并有已知问题。通过将该部分从站点中排除，可以防止它影响报告和仪表板结果。
      - 规范化 URL 和表单
        规范化规则帮助扫描作业确定 URL 和表单是否唯一，以便它们不会在报告中错误地重复出现。
      - 定义参数和 cookie
        您可能具有需要特殊处理的参数和 cookie，如您不希望扫描来操纵的会话标识和参数。
      - 处理登录和注销页面
        配置扫描如何处理 Web 应用程序的登录和注销页面。使用登录序列来遵循复杂登录过程，或输入正则表达式来检测扫描会遇到的注销页面。标识注销页面以防止扫描过早注销应用程序或 Web 站点。
      - 自动填写 web 表单
        使用“自动填写表单”向内容扫描作业提供其遇到的表单字段的值。当使用您提供的字段值时，扫描不用中断即可继续发现更多的 URL 和内容来进行分析。
      - 连接 Web 服务器
        定义扫描作业连接您网络时的行为。
      - 认证 Web 站点
        当扫描作业遇到需要 Windows™ NT® 认证的页面时，它会自动提供您选择的用户名和密码。可以为已认证页面添加用户名和密码。客户端证书指示扫描引擎和手动探索/记录的登录取决于特定客户机证书文件还是认证待扫描服务器的服务帐户的证书库。
      - 识别定制错误页面，以便扫描过程可以认出它们
        在 web 站点上使用定制错误页面以确保用户遇到中断链接时不会进入“死胡同”。相反，错误页面会引导用户前往另一页面，如主页。
      - 配置隐私声明链接扫描
        重要的是，Web 站点访客可以容易地确定 Web 站点要求信息时将如何使用数据。Web 站点的隐私策略将描述收集数据的原因，将获取数据访问权的人员以及 Web 站点访问者在该数据提交后对其具有的权限类型。当用户需要时，向他们提供信息的最佳方式是提供一个链接，从包含收集个人信息的表单的页面指向管理该数据的隐私策略。
      - 手动探索站点来将更多 URL 添加到扫描
        手动探索意味着您将在配置中指示要测试的扫描的准确 URL（扫描将不会自动搜索发现新的 URL）。对于需要大量用户交互以浏览应用程序的 Web 应用程序或者如果您只想测试应用程序的特定区域，请使用该方法。
      - 将静态分析数据与动态分析数据相关
        从 AppScan® Source 导入数据以将其结果与现有动态分析安全扫描相关联（AppScan Enterprise Server 内容扫描作业或 AppScan Standard 导入作业）。
        相关（混合分析）的工作方式
        没有任何一种自动化分析技术可发现所有可能的漏洞；每种技术都有其自己的优点和弱点。动态分析安全测试 (DAST) 通过与黑客所使用的类似方法探测应用程序来测试正在运行的 Web 应用程序。静态分析安全测试 (SAST) 检查应用程序的源代码以发现可能的漏洞。
        混合分析的示例
        以下是混合分析的一些示例。
        混合分析的最佳做法
        但因为测试方法各有不同，所以相关百分比可能相对较低。每类分析的挑战和优点均不同，如下表中所述。
        静态分析发现项目和动态分析问题之间的差异
        了解发现项目和问题之间的差异，以便使报告有意义。
      - 递增扫描
      - “测试优化”视图
        测试优化使用 AppScan® 的智能测试过滤功能，可以在需要速度时实现更快的扫描速度，同时最大程度地减少问题覆盖范围的丢失。您可以根据需要在四个优化级别之间进行选择。
      - 重新测试安全问题
        重新测试安全问题将提供一种快速的方式来验证您是否真的修复了问题。此时您不是通过运行整个作业来查看结果，而是可以选择您已经修订的一个或多个问题，并立即重新测试它们。
    - 捕获并导入流量数据
    - 从 AppScan Standard 导入基于操作的登录文件
      AppScan Standard 中基于操作的登录功能将生成用户在浏览器中的实际操作，而不仅仅是请求，并将在浏览器中重放此序列。通过在 AppScan Standard 创建基于操作的登录并将其导入 AppScan Enterprise 中来利用该功能，从而帮助在扫描期间避免离开会话的事件。
    - 从 AppScan® Standard 导入手动探索数据
      可以将从 AppScan® Standard V7.x（和更高版本）导出的数据导入到 AppScan Enterprise 中。导入该数据能节省时间并减少冗余的工作量。只有来自 AppScan .exd 文件的 URL（参数和域）与 HTTP 请求才会导入。
    - 导入要在报告中使用的 AppScan® 数据
      导入作业从数据文件获取结果，并将其集成到 AppScan® Enterprise Server 数据库中。导入的数据可用于创建报告和仪表板。它也可以结合来自内容扫描作业的内容来完整展现您的问题。
- 通过报告进行分类
  作业已运行后会自动生成报告。这些报告提供一种管理问题的方法，以便您能够管理对于贵组织很重要的问题，并以 Enterprise Console 的工作流程和贵组织内其他进程的工作流程均支持的方式来完成此目标。
- 配置管理器
- 命令行实用程序
  本节提供有关与AppScan Enterprise一起包含的独立命令行实用程序的信息。这些工具在主要图形用户界面之外执行特定任务。
- AppScan 资源
  集成、帮助程序脚本、实用程序、有用示例、库以及与 HCL AppScan 相关的其他资源的 GitHub 集合。
- 美国政府法规遵从性
  遵守美国政府的安全和信息技术法规有助于消除销售障碍和阻碍。它还向全球潜在客户提供了一个有力的证明，表明HCL®正在努力使其产品成为行业中最安全的产品。本主题列出了AppScan®企业支持的标准和指南。
- WebSocket支持
  AppScan Enterprise 无缝处理使用 JSON 或 XML 消息进行数据交换的 WebSocket 协议，通过自动检测这些协议并在扫描期间执行相应的测试，无需任何特殊配置。
词汇表

混合分析的最佳做法

但因为测试方法各有不同，所以相关百分比可能相对较低。每类分析的挑战和优点均不同，如下表中所述。

粗体文本指示优点。
动态分析	静态分析
认知度	超过近似值
代码覆盖范围	代码/路径覆盖范围
无源	仅限于给定代码
仅 HTTP 认知度	大于 HTTP 验证数
多组件支持	按语言/框架提供支持
需要已部署的应用程序	无需部署应用程序
较少先决条件	支持部分应用程序
以远程攻击者身份发挥作用	集成/部署问题

对于最佳相关规则：

对 SAST 问题进行预过滤以对确定可疑问题施以最高严重性设置。
在发布到 AppScan® Enterprise 之前保存部分评估或配置要自动应用的过滤器。
通过 DAST，确保尽可能的探索应用程序，并使用对应用程序有意义的最完善的安全测试策略。
确保用两种方法分析相同版本的 Web 应用程序。