Welcome
產品概觀
AppScan Enterprise 中的互動式應用程式安全測試 (IAST)
使用 IAST 代理程式進行的 OWASP Benchmark
OWASP Benchmark Project 是一個 Java 測試套件，旨在評估軟體漏洞偵測工具。HCL AppScan IAST Java 代理程式完全符合 OWASP Benchmark。

歡迎
歡迎使用 HCL AppScan Enterprise 10.11.0 文檔，您可以在其中找到有關如何安裝、維護和使用 HCL AppScan Enterprise 的資訊。
企業的AppScan®無障礙功能
協助工具特性可協助有殘障 (例如，行動受限或視力受限) 的使用者順利地使用資訊技術產品。
產品概觀
- 應用程式安全管理
  安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊，例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
- AppScan® Enterprise 元件
  HCL® AppScan® Enterprise 可讓組織降低應用程式安全風險、強化應用程式安全方案管理提議，並符合法規。安全和開發團隊可以在整個應用程式生命週期中分工合作、建立原則及調整測試範圍。企業儀表板會根據業務影響來分類應用程式資產及設定優先順序，並識別高風險區域，讓您的補救努力達到最大成效。所提供的效能測量值可協助您監視應用程式安全方案的進度。
- 開始使用應用程式安全管理
  根據您的角色，您可以開始使用產品的不同領域。
- HCL AppScan® Enterprise 中的新功能
  本節說明此版本中新的 AppScan Enterprise 產品功能與增強功能，以及相關的淘汰與預期變更。
- AppScan Enterprise 中的互動式應用程式安全測試 (IAST)
  - IAST 代理程式授權
  - 在 AppScan Enterprise Server 中配置 IAST Communication Service
    IAST Communication Service 會在您執行「配置精靈」時自動配置。
  - 在 Web 伺服器上下載和部署 Java IAST 代理程式
    您必須在已測試應用程式的 Web 伺服器上下載和部署 IAST 代理程式，才能監視在執行時間所傳送的流量，並報告所發現的漏洞。
  - 下載和部署 .NET 或 .NET Core IAST 代理程式類型
    您可以在已測試應用程式的 Web 伺服器上部署可支援 Java、.NET、.NET Core 或 Node.js 型應用程式的 IAST 代理程式。本節說明如何在 Web 伺服器上建立 .NET 或 .NET Core IAST 代理程式類型。
  - 下載和部署 Node.js IAST 代理程式類型
    您可以在已測試應用程式的 Web 伺服器上部署可支援 Java、.NET 或 Node.js 型應用程式的 IAST 代理程式。本節說明如何在 Web 伺服器上建立 Node.js 代理程式類型。
  - 下載和部署 PHP IAST 代理程式
    使用此程序下載AppScan Enterprise PHP IAST 代理並將其部署到您的應用伺服器環境（Windows、Ubuntu 或 Red Hat）。PHP IAST 代理在運行時測試（手動或自動）期間監控您的運行中網絡應用程式，並向AppScan Enterprise報告漏洞。
  - 在 AppScan Enterprise 中管理 IAST 代理程式
    AppScan Enterprise 可以針對單一應用程式支援多個 IAST 代理程式。
  - 使用 IAST 代理程式進行的 OWASP Benchmark
    OWASP Benchmark Project 是一個 Java 測試套件，旨在評估軟體漏洞偵測工具。HCL AppScan IAST Java 代理程式完全符合 OWASP Benchmark。
- 使用 AppScan 偵測易受攻擊的元件
  AppScan透過識別和報告第三方元件中的漏洞來增強應用程式安全性，確保企業免受潛在威脅的侵害。
- 利用智慧型發現項目分析 (IFA) 進行更聰明的 DAST 掃描
  Intelligent Finding Analytics (IFA) 使用人工智慧 (AI) 來提高 DAST 掃描的準確性，藉由減少誤報和優化測試選擇。
- 支援的技術
- 已知問題與暫行解決方法
  以下是已知問題和其暫行解決方法。
- 已棄用功能
  如果您正在從 AppScan® Enterprise 的早期版本進行遷移，您應該了解在此版本中已棄用的各種功能。
- AppScan Enterprise 法律注意事項
- 妥善安全作法聲明
正在安裝
學習如何安裝產品。
升級與移轉
學習如何升級產品。
整合
學習如何將產品與其他解決方案整合在一起。
DevOps
瞭解如何使用 REST API 和外掛程式來延伸產品。
最佳作法
學習最佳實務，以瞭解如何使用產品。
配置
學習如何配置產品。
管理
學習如何管理產品。
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
疑難排解和支援
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題，疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
參照
檢閱產品的參照資訊。
名詞解釋

使用 IAST 代理程式進行的 OWASP Benchmark

OWASP Benchmark Project 是一個 Java 測試套件，旨在評估軟體漏洞偵測工具。HCL AppScan IAST Java 代理程式完全符合 OWASP Benchmark。

程序

要使用 AppScan IAST Java 代理程式執行 OWASP Benchmark：

從克隆BenchmarkJava和BenchmarkUtilshttps://github.com/OWASP-Benchmark 。
開啟命令提示符，切換到BenchmarkUtils目錄，然後執行mvn install -DskipTests 。
在 AppScan Enterprise 中：啟動 IAST Java 階段作業並下載代理程式 zip，如在 Web 伺服器上下載和部署 Java IAST 代理程式中所述。
提取zip檔的內容。
在擷取的JAR中，找到jar_deployment資料夾中的secagent.jar並將其複製到BenchmarkJava\tools\HCL 。
從命令提示字元執行runBenchmark_wHCL.bat ，然後等待一段時間，直到顯示訊息“ [INFO] Press Ctrl-C to stop the container...” 。
開啟另一個命令提示字元並執行 BenchmarkJava\runCrawler.bat
抓取完成後，按Ctrl+C停止Benchmark Tomcat實例。當詢問「終止批次作業（是/否）？」時，輸入N 。
執行 BenchmarkJava\createScorecards.bat

測試結果可以在： BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 檔案中找到

圖：OWASP Benchmark v1.2 結果比較