ホーム
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
動的スキャン (DAST)
AppScan 360° は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
テスト自動化
動的スキャンを機能テストに組み込みます。

はじめに
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
- 動的分析 (DAST) について
  AppScan 360° の動的 (DAST) スキャンは、次の 2 つのステージで構成されています。探査およびテスト。スキャン・プロセスのほとんどはユーザーにとってシームレスで、スキャンが完了するまで入力は必要ありませんが、動的スキャンの仕組みを把握すると、開発プロセスにおけるスキャンの役割の理解を深めることができます。
- 動的スキャン (DAST)
  AppScan 360° は、ブラウザーまたは Web API で実行されるアプリケーションの動的分析を実行できます。AppScan 360° で利用可能な構成オプションを使用するか、AppScan Standard の構成 (テンプレート・ファイル) またはフル・スキャン・ファイルをアップロードします。
  - スキャンの作成
    スキャンの開始 URL とユーザー資格情報を入力し、サイトのタイプを選択します。また、サイトをスキャンする許可があるかどうかをまだ確認していない場合は、それを確認します。
  - テンプレートからのスキャンの作成
    独自の AppScan Standard テンプレート (SCANT) ファイルをアップロードして、AppScan 360° スキャンを実行できます。
  - スキャン・ファイルからのスキャンの作成
    独自の AppScan Standard スキャン (SCAN) ファイルをアップロードして、AppScan 360° スキャンを実行できます。
  - 増分スキャンの作成
  - テスト・ポリシー
    AppScan 360° からスキャンを実行する場合は、AppScan Standard のデフォルトのテスト・ポリシーが使用されますが、インポートされたスキャンや、API から実行されるスキャンでは、他のポリシーを適用できます。
  - テストの最適化
    テストの最適化では、インテリジェントなテスト・フィルタリングを使用して、問題範囲の損失を最小限に抑えながら、より高速なスキャンを実現します。速度を考慮事項とする場合は、4 つの最適化レベルから選択します。
  - テスト自動化
    動的スキャンを機能テストに組み込みます。
  - クライアント証明書
- トラフィックの記録
  トラフィックは、AppScan Activity Recorder ブラウザー拡張機能 (Chrome または Edge 用)、HCL AppScan Traffic Recorder プロキシー・サーバー、または AppScan Standard を使用して、DAST スキャンの探査データとして記録できます。
- HCL AppScan Traffic Recorder
  HCL AppScan Traffic Recorder (DAST プロキシー) では、トラフィックを記録して探査データとして使用できます。要求に応じてトラフィック・レコーダー・インスタンスを作成して、後で DAST スキャンに使用されるトラフィックを記録できます。
- AppScan Standard
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。

DAST スキャンの自動化

動的スキャンを機能テストに組み込みます。

DevOps の世界では、Web アプリケーションの機能テストのプロセスにセキュリティー・スキャンを組み込む機能の重要性が増しています。自動化フレームワーク (Selenium など) を使用すれば、既に作成済みのスクリプトを利用して、以下のような個別の要件に合ったスキャンを作成できます。

自動化フレームワークから Web アプリケーションへの要求が、プロキシー・サーバーのプロキシーを経由して送信される。
サーバーがトラフィックを記録し、それを dast.config ファイルとして保存する。
AppScan 360° が探査データとして使用するファイルをアップロードする。
自動化サーバー・プロキシーを経由してトラフィックを手動で送信し、dast.config ファイルを作成する

AppScan 360° 自動化ワークフロー:

スキャンの実行:
1. 構成に従い、指定されたポートまたはランダムに選択されたポートでリスンするプロキシーを始動します (「HCL AppScan Traffic Recorder の開始と停止」を参照)。
2. 選択されたプロキシーを使用して Selenium スクリプト (または他の機能テスト) を実行します。
  または
  選択されたプロキシーを介して機能するように構成された Web ブラウザーを使用して、Web アプリケーションを手動で参照します。
3. プロキシーを停止して、トラフィックの記録を保存します。
4. AppScan 360° REST API を使用して AppScan 360° に公開するために、特定のアプリケーションで新しいスキャンを作成します。「REST API」を参照してください。

REST API を使用したこのワークフロー用のデモ・スクリプトをダウンロードできます。デモ・スクリプトをダウンロードします。

注: AppScan 360° でデモ・スクリプトを使用するには、次を実行します。

Python スクリプト内の self.asoc_base_url 変数を AppScan 360° サーバーの URL に置き換えます。
変数 self.asoc_presence_id は、AppScan 360° には使用できません。

以下も参照してください。

REST API