跳转到主要内容
欢迎
欢迎使用 HCL AppScan Enterprise 10.6.0 文档,您可以在本文档中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
AppScan® Enterprise 的辅助功能选项
辅助功能选项可帮助残障人士(例如行动不便或视力不佳)顺利使用信息技术内容。
应用程序安全管理
安全就是保护您的有价值的资产。您的组织拥有的某些最重要的资产以信息的形式存在,例如知识产权、策略规划和客户数据。保护该信息对于您的组织非常重要,这样您才能继续运营、保持竞争力并满足法规需求。
AppScan® Enterprise 组件
HCL® AppScan® Enterprise 使组织能够缓解应用程序安全风险,加强应用程序安全项目管理计划,并实现法规一致性。安全和开发团队可以在整个应用程序生命周期内进行协作、制定策略并确定测试范围。企业仪表板根据业务影响来对应用程序资产进行分类和优先级划分,并识别高风险区域,从而使您能够将修复工作的作用最大化。提供了性能指标来帮助您监视应用程序安全项目的进度。
应用程序安全管理入门
根据您的角色,可以从产品的不同方面入门。
HCL AppScan® Enterprise 中的新增功能
本节介绍新的AppScan Enterprise 此版本中的产品功能和增强功能,以及相关的弃用和预期更改。
AppScan Enterprise 中的交互式应用程序安全测试 (IAST)
使用 AppScan 检测易受攻击的组件
AppScan通过识别和报告第三方组件中的漏洞来增强应用程序安全性,确保企业免受潜在威胁。
支持的技术
已知问题和变通方法
以下是已知问题及其变通方法。
不推荐的功能
如果您要从 AppScan® Enterprise 的早期版本进行迁移,您应该了解此版本中已弃用的各种功能。
AppScan Enterprise 法律声明
良好安全实践声明
正在安装
了解如何安装该产品。
规划部署和安装
所使用的配置取决于许多因素:计划使用软件执行的操作,组织和 Web 站点或应用程序的构造方式以及要对信息进行分发的方式。在您安装当前发行版之前,请查看关于硬件和软件需求、许可以及其他部署注意事项的信息。
安装前任务
在安装 AppScan® Enterprise 之前,将需要准备并配置系统。
安装任务
本部分提供了关于安装 AppScan® Enterprise 的指示信息。
安装后任务
在安装 AppScan® Enterprise 之后,请完成以下安装后任务。
高级安装场景
升级和迁移
了解如何对产品进行升级。
您从先前版本升级时的产品更改
了解从先前版本升级时可能会影响扫描或报告数据的更改的相关信息。确保阅读所有主题,以便了解升级过程。
修订包安装
修订包可从 FNO 下载。
将 Jazz™ Team Server 替换为 WebSphere®
从 v9.0.1 开始, AppScan® Enterprise 进行了架构重新设计,以减少安装占用空间并删除作为用户身份验证组件的Rational® Jazz™ Team Server ( Jazz Team Server)。
在 AppScan Enterprise 中将 Jazz Team Server 用户迁移到 Liberty
要迁移 Jazz Team 用户以使用 Liberty 认证方法,请在升级到 V9.0.1 和更高版本之前使用命令导出由用户组成的 .csv 文件。然后,可以按照以下两种方法之一执行操作并在 Liberty 中注册相同用户,以便这些用户能够访问 AppScan Enterprise V9.0.1 和更高版本。
升级到最新版本的 AppScan Enterprise
要成功升级到最新版本的 AppScan Enterprise,请认真阅读本主题。
为 AppScan® Enterprise 配置 SQL Server 数据库
AppScan® Enterprise Server 配置需要关于 SQL Server 的信息。请首先配置 SQL Server 以在 AppScan 配置期间节省时间。如果将 SQL Server 升级到较新的版本,还请遵循以下指示信息。
为 Liberty 概要文件配置基本用户注册表
使用 Liberty 证书库中的证书
该过程描述了如何使用 Liberty 证书来保护 IIS。
升级 AppScan® Source LDAP 与 Oracle 数据库的连接
如果您要更改 LDAP 设置(如服务器名称或别名)或者如果要将 AppScan® Enterprise Server 移至其他计算机,那么必须更新 asc.properties 文件以反映这些更改。
在 WebSphere Liberty 概要文件上启用 FIPS 140-2 或 NIST SP800-131a
使用以下过程之一可在 WebSphere Liberty 概要文件上启用 FIPS 140-2 或 NIST SP800-131a。
AppScan Enterprise 更新中的 OWASP 报告可见性
集成
了解如何将产品与其他解决方案集成。
与 QA 自动化系统集成
了解如何将产品与 QA 自动化系统集成。
与缺陷跟踪系统集成
了解如何将产品与缺陷跟踪系统集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
REST API
了解有关 AppScan Enterprise 中的 REST API 的信息。
插件和集成
最佳实践
了解使用产品的最佳做法。
针对内容扫描的最佳做法
确定内容扫描作业将扫描的应用程序中正在使用的技术,并且参考下列针对各类型的最佳做法。
关于在生产环境中运行安全扫描的最佳做法
在生产环境中执行安全扫描有风险;但是,扫描生产环境可能有必要,也许是为了符合审计要求,为了检测站点是否已被黑客入侵,或者为了验证是否在实施用于集成安全扫描的 SDLC 过程。
针对性能的最佳做法
扫描引擎会实施 1000 多项不同的测试并多次执行它们。
了解测试优化
常见问题
此主题处理常规应用程序问题。
配置
了解如何配置该产品。
配置用户设置
您可按照需要使若干设置个人化。
配置 Enterprise Console
Enterprise Console 是主要的用户界面,它支持管理、项目配置和报告。
配置日志保留期限属性
在运行扫描期间生成的日志文件将在服务器中保留特定时间。服务器保留此类日志文件的时间限制称为日志保留期限。在此保留期限之后,这些日志文件将失去时效性,但却仍在服务器中不必要地占用存储空间。您可以在 AppScan Enterprise 中配置一个时间限制作为日志保留期限,以在超出预设的这个期限之后自动删除此类日志文件。
管理
了解如何管理该产品。
管理用户、组和访问许可权
了解如何管理用户组和访问许可权。
AppScan Enterprise 中的 SAML 单点登录
配置和下载 Enterprise Console 和 AppScan Server 的日志文件
当管理员需要对问题进行故障诊断时,可配置 Enterprise Console 和 AppScan Server 的日志文件的设置,并下载这些日志文件。此功能消除了对安装了 Enterprise Console 或 AppScan Server 的计算机的文件系统进行搜索的需求。
通过 ASE AdminUtil 工具在 AppScan Enterprise 中重置服务帐户密码
AdminUtil 工具可帮助用户阻止他人在 AppScan Enterprise Server 和 DAST 扫描程序上重新运行配置向导来重置密码。可通过下列两种方式运行该实用程序:交互方式和静默方式。有关通过交互方式重置服务帐户密码的信息,请参阅在 AppScan Enterprise 中通过 ASE AdminUtil 工具以静默方式重置服务帐户密码 。
通过 ASE AdminUtil 工具在 AppScan Enterprise 中以静默方式重置服务帐户密码
AppScan Enterprise (ASE) AdminUtil 工具可帮助用户避免在 AppScan Enterprise Server、IAST 通信服务、DAST 扫描程序、数据库服务和警报服务上重新运行配置向导,以重置服务帐户的密码。您可通过下列两种方式运行该实用程序来实现此目标:交互方式和静默方式。有关通过交互方式重置服务帐户密码的信息,请参阅在 AppScan Enterprise 中通过 ASE AdminUtil 工具重置服务帐户密码 。
监视 AppScan Enterprise 使用情况
创建“活动日志”报告可确定谁正在使用 AppScan Enterprise 以及他们在对其执行什么操作。该报告列出进行更改的用户以及何时进行了更改。由于日志始终在记录活动,因此您必须做的就是创建报告。仅“管理员”能够创建“活动日志”报告;但是,可以为任何用户提供对该报告的访问权,作为报告包属性的一部分。如果您不希望其他用户查看“活动日志”报告,请将报告包的“用户和组”页面上的“所有其他用户”更改为 No Access。
活动日志
活动日志可帮助确定谁正在使用 AppScan Enterprise 以及他们在对其执行什么操作。该日志列出进行更改的用户以及何时进行了更改。此信息对于安全审计检测用户可能执行的未授权活动或异常活动非常有用。只有管理员可查看活动日志。缺省情况下,活动日志数据会保留一年。
管理服务器
产品管理员负责管理每个服务器以使其达到最佳性能。
管理扫描队列
查看当前在运行或等待运行的扫描作业的状态,以便您能够安排关键扫描作业的运行优先顺序。例如,您可能有作为时间敏感可交付内容(如假日购物专题)的一部分的扫描作业。您可以将其移至队列顶部以确保其在安排中具有最高优先顺序。
更新安全规则
将在 AppScan® Enterprise 发行版中更新安全规则。您可以通过查看 AppScan Enterprise 主菜单中的“关于”链接来验证安全规则的版本和发布日期。
从 AppScan Standard 导入用户定义的测试
AppScan® Standard 提供数千个测试的数据库。但是,如果您的 Web 应用程序存在特定于自身的问题,或如果您想要撰写自己的问题修订咨询,那么您可以创建自己的测试。这些测试会保存并包含在 AppScan 测试数据库中。还可将它们以 *.udt 文件的形式导出到 AppScan Enterprise 中。
维护 SQL Server 数据库
SQL Server 数据库备份和维护包括升级 SQL Server、SQL 数据备份、日志文件配置和数据库使用。
准备安全测试
了解如何为在 AppScan Enterprise 进行安全测试做准备。
创建扫描模板
了解如何在 AppScan Enterprise 中创建扫描模板。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 1:创建应用程序清单
了解如何创建应用程序清单。
步骤 2:测试应用程序以查找漏洞
了解如何在应用程序中测试识别的漏洞。
步骤 3:确定风险和划分漏洞优先级
了解如何确定风险,以及对在应用程序中识别的漏洞划分优先级。
步骤 4:补救任务
了解如何修复在应用程序中识别的漏洞。
步骤 5:度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题,故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
对问题进行故障诊断
故障诊断是解决问题的一种系统方法。故障诊断的目标是确定无法按照预期进行工作的原因,并阐述如何解决问题。
模板:联系 HCL® 支持人员
HCL® 支持提供有关产品缺陷的帮助、回答 FAQ 和帮助用户解决产品的问题。
Dynamic Analysis Scanner 故障诊断
了解如何进行 Dynamic Analysis Scanner 故障诊断。
Enterprise Server 故障诊断
了解如何进行 Enterprise Server 故障诊断。
消息
这些消息说明以了下消息的可维护性代码:内部产品消息、扫描日志消息和 Web Service 消息
参考
查看该产品的参考信息。
“配置向导”主题
了解“配置向导”主题。
“文件夹资源管理器”主题
了解“文件夹资源管理器”主题。
通过报告进行分类
作业已运行后会自动生成报告。这些报告提供一种管理问题的方法,以便您能够管理对于贵组织很重要的问题,并以 Enterprise Console 的工作流程和贵组织内其他进程的工作流程均支持的方式来完成此目标。
配置管理器
AppScan 资源
集成、帮助程序脚本、实用程序、有用示例、库以及与 HCL AppScan 相关的其他资源的 GitHub 集合。