歡迎使用
歡迎使用 HCL AppScan Enterprise 10.3.0 說明文件，您可以在其中找到如何安裝、維護及使用 HCL AppScan Enterprise 的相關資訊。
AppScan® Enterprise 的協助工具特性
協助工具特性可協助有殘障 (例如，行動受限或視力受限) 的使用者順利地使用資訊技術產品。
產品概觀
- 應用程式安全管理
  安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊，例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
- AppScan® Enterprise 元件
  HCL® AppScan® Enterprise 可讓組織降低應用程式安全風險、強化應用程式安全方案管理提議，並符合法規。安全和開發團隊可以在整個應用程式生命週期中分工合作、建立原則及調整測試範圍。企業儀表板會根據業務影響來分類應用程式資產及設定優先順序，並識別高風險區域，讓您的補救努力達到最大成效。所提供的效能測量值可協助您監視應用程式安全方案的進度。
- 開始使用應用程式安全管理
  根據您的角色，您可以開始使用產品的不同領域。
- HCL AppScan® Enterprise 的新功能
  本節說明此版本中的 AppScan Enterprise 新產品功能和加強功能，以及相關的淘汰和預期變更。
- AppScan Enterprise 中的互動式應用程式安全測試 (IAST)
  - IAST 代理程式授權
  - 在 AppScan Enterprise Server 中配置 IAST Communication Service
    IAST Communication Service 會在您執行「配置精靈」時自動配置。
  - 在 Web 伺服器上下載和部署 Java IAST 代理程式
    您必須在已測試應用程式的 Web 伺服器上下載和部署 IAST 代理程式，才能監視在執行時間所傳送的流量，並報告所發現的漏洞。
  - 下載和部署 .NET 或 .NET Core IAST 代理程式類型
    您可以在已測試應用程式的 Web 伺服器上部署可支援 Java、.NET、.NET Core 或 Node.js 型應用程式的 IAST 代理程式。本節說明如何在 Web 伺服器上建立 .NET 或 .NET Core IAST 代理程式類型。
  - 下載和部署 Node.js IAST 代理程式類型
    您可以在已測試應用程式的 Web 伺服器上部署可支援 JAVA、.NET 或 Node.js 型應用程式的 IAST 代理程式。本節說明如何在 Web 伺服器上建立 Node.js 代理程式類型。
  - 在 AppScan Enterprise 中管理 IAST 代理程式
    AppScan Enterprise 可以針對單一應用程式支援多個 IAST 代理程式。
  - 使用 IAST 代理程式進行的 OWASP Benchmark
    OWASP Benchmark Project 是一個 Java 測試套件，旨在評估軟體漏洞偵測工具。HCL AppScan IAST Java 代理程式完全符合 OWASP Benchmark。
- 使用 AppScan 偵測易受攻擊的元件
  AppScan 透過識別和報告第三方元件中的漏洞來增強應用程式安全性，確保企業免受潛在威脅的侵害。這有助於防止未偵測到的漏洞並確保業務連續性。
- 支援的技術
- 已知問題與暫行解決方法
  以下是已知問題和其暫行解決方法。
- 已淘汰的特性
  如果您是從舊版 AppScan® Enterprise 移轉，請注意本版次中已淘汰的各種特性。
- AppScan Enterprise 法律注意事項
- 妥善安全作法聲明
正在安裝
學習如何安裝產品。
升級與移轉
學習如何升級產品。
整合
學習如何將產品與其他解決方案整合在一起。
DevOps
瞭解如何使用 REST API 和外掛程式來延伸產品。
最佳作法
學習最佳實務，以瞭解如何使用產品。
配置
學習如何配置產品。
管理
學習如何管理產品。
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
疑難排解和支援
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題，疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
參照
檢閱產品的參照資訊。
名詞解釋

使用 IAST 代理程式進行的 OWASP Benchmark

OWASP Benchmark Project 是一個 Java 測試套件，旨在評估軟體漏洞偵測工具。HCL AppScan IAST Java 代理程式完全符合 OWASP Benchmark。

程序

要使用 AppScan IAST Java 代理程式執行 OWASP Benchmark：

於 https://github.com/OWASP-Benchmark 下載或 git-clone BenchmarkJava 和 BenchmarkUtils 。
開啟命令提示字元，cd 到 BenchmarkUtils 目錄，然後執行 mvn install -DskipTests。
在 AppScan Enterprise 中：啟動 IAST Java 階段作業並下載代理程式 zip，如在 Web 伺服器上下載和部署 Java IAST 代理程式中所述。
解壓縮 ZIP 檔內容。
在擷取的 JAR 中，找到 jar_deployment 資料夾中的 secagent.jar，並將其複製到 BenchmarkJava\tools\HCL。
開啟命令提示字元，執行 runBenchmark_wHCL.bat ，然後等待一段時間，直到顯示訊息 '[INFO] 按 Ctrl-C 以停止容器...'。
開啟另一個命令提示字元並執行 BenchmarkJava\runCrawler.bat。
搜索完成後，按 CTRL+C 停止 Benchmark Tomcat 實例。系統詢問'終止批次工作 (是/否)？'時，輸入否。
執行 BenchmarkJava\createScorecards.bat

測試結果可以在： BenchmarkJava\scorecard\Benchmark_v1.2_Scorecard_for_HCL_AppScan_IAST_v{IAST_version} 檔案中找到

圖：OWASP Benchmark v1.2 結果比較