Welcome
产品概述
AppScan Enterprise 中的交互式应用程序安全测试 (IAST)
带 IAST 代理的 OWASP 基准
OWASP 基准项目是一个 Java 测试套件，旨在评估软件漏洞检测工具。HCL AppScan IAST Java 代理完全符合 OWASP 基准。

欢迎
欢迎使用 HCL AppScan Enterprise 10.11.0 文档，您可以在其中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
企业的AppScan®无障碍功能
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
- 应用程序安全管理
  安全就是保护您的有价值的资产。您的组织拥有的某些最重要的资产以信息的形式存在，例如知识产权、策略规划和客户数据。保护该信息对于您的组织非常重要，这样您才能继续运营、保持竞争力并满足法规需求。
- AppScan® Enterprise 组件
  HCL® AppScan® Enterprise 使组织能够缓解应用程序安全风险，加强应用程序安全项目管理计划，并实现法规一致性。安全和开发团队可以在整个应用程序生命周期内进行协作、制定策略并确定测试范围。企业仪表板根据业务影响来对应用程序资产进行分类和优先级划分，并识别高风险区域，从而使您能够将修复工作的作用最大化。提供了性能指标来帮助您监视应用程序安全项目的进度。
- 应用程序安全管理入门
  根据您的角色，可以从产品的不同方面入门。
- HCL AppScan® Enterprise 中的新功能
  本节介绍此版本中新的 AppScan Enterprise 产品功能和增强功能，以及相关弃用和预期更改。
- AppScan Enterprise 中的交互式应用程序安全测试 (IAST)
  - IAST 代理的许可
  - 在 AppScan Enterprise Server 中配置 IAST 通信服务
    IAST 通信服务在运行配置向导时自动配置。
  - 下载 Java IAST 代理程序并将其部署在 Web 服务器上
    您必须下载并在被测应用程序的 Web 服务器上部署 IAST 代理，以监视运行时期间发送的流量并报告其发现的漏洞。
  - 下载并部署 .NET 或 .NET Core IAST 代理程序类型
    您可以在支持基于 Java、.NET、.NET Core 或 Node.js 的应用程序的被测应用程序 Web 服务器上部署 IAST 代理程序。本部分说明如何在 Web 服务器上创建 .NET 或 .NET Core IAST 代理程序类型。
  - 下载并部署 Node.js IAST 代理程序类型
    您可以在支持基于 Java、.NET 或 Node.js 的应用程序的被测试应用程序 Web 服务器上部署 IAST 代理程序。本部分说明如何在 Web 服务器上创建 Node.js 代理程序类型。
  - 下载和部署 PHP IAST 代理
    使用此程序下载 AppScan Enterprise PHP IAST 代理，并将其部署到您的应用服务器环境（Windows、Ubuntu 或 Red Hat）。PHP IAST 代理在运行时测试（手动或自动）期间监控您的运行 Web 应用程序，并将漏洞报告给AppScan Enterprise。
  - 在 AppScan Enterprise 中管理 IAST 代理
    对于单个应用程序，AppScan Enterprise 可支持多个 IAST 代理。
  - 带 IAST 代理的 OWASP 基准
    OWASP 基准项目是一个 Java 测试套件，旨在评估软件漏洞检测工具。HCL AppScan IAST Java 代理完全符合 OWASP 基准。
- 使用 AppScan 检测易受攻击的组件
  AppScan通过识别和报告第三方组件中的漏洞来增强应用程序安全性，确保企业免受潜在威胁。
- 通过智能结果分析 (IFA) 实现更智能的 DAST 扫描
  智能发现分析 (IFA) 使用人工智能 (AI) 来提高 DAST 扫描的准确性，方法是减少误报并优化测试选择。
- 支持的技术
- 已知问题和变通方法
  以下是已知问题及其变通方法。
- 已弃用功能
  如果您正在从 AppScan® Enterprise 的早期版本进行迁移，您应该了解此版本中已弃用的各种功能。
- AppScan Enterprise 法律声明
- 良好安全实践声明
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
词汇表

带 IAST 代理的 OWASP 基准

OWASP 基准项目是一个 Java 测试套件，旨在评估软件漏洞检测工具。HCL AppScan IAST Java 代理完全符合 OWASP 基准。

过程

要使用 AppScan IAST Java 代理运行 OWASP 基准：

从克隆BenchmarkJava和BenchmarkUtilshttps://github.com/OWASP-Benchmark 。
打开命令提示符，切换到BenchmarkUtils目录，然后运行mvn install -DskipTests 。
在 AppScan Enterprise 中：启动 IAST Java 会话并下载代理 zip，如下载 Java IAST 代理程序并将其部署在 Web 服务器上中所述。
提取zip文件的内容。
在提取的JAR中，找到jar_deployment文件夹中的secagent.jar并将其复制到BenchmarkJava\tools\HCL 。
从命令提示符运行runBenchmark_wHCL.bat ，然后等待一段时间，直到显示消息“ [INFO] Press Ctrl-C to stop the container...” 。
打开另一个命令提示符并运行 BenchmarkJava\runCrawler.bat。
抓取完成后，按Ctrl+C停止Benchmark Tomcat实例。当询问“终止批处理作业（是/否）？”时，输入N 。
运行 BenchmarkJava\createScorecards.bat

测试结果可以在 BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 文件中找到

图：OWASP 基准 v1.2 结果对比