jump.to.content
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
欢迎
欢迎使用 HCL AppScan on Cloud 文档。
安全就是保护您的有价值的资产。您的组织拥有的某些最重要的资产以信息的形式存在,例如知识产权、策略规划和客户数据。保护该信息对于您的组织非常重要,这样您才能继续运营、保持竞争力并满足法规需求。
系统要求
本主题提供了系统要求、受支持操作系统和 ASoC 分析器语言的链接。还提供了关于受支持浏览器和设备的最小分辨率的信息。
最近更新
发现即将发布和最近添加的功能。
访问管理
订阅
“我的订阅”显示了您的组织的所有订阅的状态,包括应用程序或扫描的剩余数量以及开始日期和结束日期。
工作流程
本部分概述了具有有效订阅的授权用户的典型 ASoC 工作流程。
主菜单
本部分介绍主 ASoC 菜单上的项目,并提供相关文档的链接。
演示视频
这些“操作方法”视频演示了如何使用 ASoC 及其如何适合您的工作流程,并提供了提示和技巧。
联系和支持
以下是一些您可能认为有用的链接。
ISO/IEC 27001:2013 认证
HCL AppScan on Cloud 拥有截至 2018 年 4 月的 ISO/IEC 27001:2013 认证。
Service Description
Trial Terms of Use
These Terms of Use applies to the AppScan on Cloud Service trial.  By ordering, accessing, or using the HCL AppScan on Cloud Trial, You agree to the ToU.
用户管理可将敏感应用程序分配到资产组,然后将特定用户添加到这些组,从而帮助您限制对敏感应用程序的访问权。
管理用户
检查您的用户并确定哪些用户需要访问哪些应用程序和资产组。请考虑按业务单元或地理位置来分组用户。缺省情况下,Cloud Marketplace 中未指定为管理员的用户都是应用程序测试者。确定哪些用户需要仅具有报告查看者角色并更改其角色。
用户角色
管理员将用户分配到资产组。无法删除预定义的用户角色。
资产组
资产组表示您的组织的抽象组成部分,比如“财务”或“工程设计”。管理员可以通过以下操作来限制对特定应用程序的访问:将这些应用程序分配到某一资产组,然后限制属于该资产组的用户。
自动化评估由应用程序组织,其中一个应用程序可以包含多个扫描的组合,以及从第三方扫描程序导入的问题。所有扫描结果都在应用程序级别进行整合。可创建这些应用程序或从 CSV 文件导入这些应用程序的列表。
应用程序属性
应用程序属性是应用程序的属性,显示为我的应用程序选项卡的列标题。可使用它们来对应用程序列表进行过滤,从而聚焦于想要调查的内容。下表说明了可编辑的预定义属性(“创建日期”和“上次更新时间”由 ASoC 控制)。
创建应用程序
创建应用程序并导入问题,以便您能够参照对关键 Web 应用程序的业务影响来跟踪安全测试进度。
过滤应用程序清单
当有很多应用程序要进行测试以查找安全问题时,如何能在列表很长的情况下找到您感兴趣的应用程序?按业务单元或风险分级过滤清单以缩小测试范围。
导入应用程序列表
导入应用程序的清单列表可通过减少冗余的手动工作量来为您节省时间。可从应用程序属性的样本电子表格开始,或将样本电子表格与现有列表合并。应用程序的列表必须采用 CSV 格式。请确保使用电子表格编辑器(例如 Microsoft™ Excel 或 Apache OpenOffice Calc)来编辑 CSV 文件。
服务器上的 AppScan Presence 使您能够扫描不可从因特网访问的站点,而且能够合并扫描以作为功能测试的一部分。
系统要求
创建 AppScan Presence
对于专用 Web 应用程序或移动应用程序,或者要包含扫描作为功能测试过程的一部分,必须创建 an AppScan Presence,并需要 Web 应用程序或后端服务器,以及因特网的访问权。相同的 Presence 可用于 Android 应用程序、iOS 应用程序和网站。支持代理连接。
启动 AppScan Presence
配置代理服务器
要在 AppScan Presence 中使用代理服务器,必须激活和配置该服务器。
使用代理服务器
您可以使用 AppScan Presence 代理服务器来记录流量,将其另存为 CONFIG 文件,然后导入它以运行 ASoC 扫描。您可以选择加密此文件,如以下过程中的小节所述。
配置专用站点服务器代理
如果专用网络需要专用站点服务器使用代理来连接到 Web 应用程序或后端服务器(内部代理)或者连接到因特网(出站代理),请按如下方式进行配置。
配置 PAC 文件
如果需要代理自动配置 (PAC) 文件才能访问站点中的各个域,请按以下步骤配置 AppScan Presence。
更新 Presence 密钥
当您最初下载 Presence 时,它包含了用于将其激活的密钥。当该密钥到期后,必须将其替换为有效的密钥。
了解如何在您的应用程序上运行扫描以及从第三方扫描程序导入问题。
样本应用程序和脚本
使用样本应用程序练习使用 ASoC 扫描。
移动分析
ASoC 可执行 iOS 和 Android 应用程序的交互式静态分析。
动态分析
ASoC 可执行在浏览器中运行的应用程序的动态分析。
自动化动态扫描
本部分介绍如何将动态扫描合并到功能测试中。
个人扫描
个人扫描是一种评估开发中应用程序的相对安全性而又不影响整个应用程序扫描数据或合规性的方法。
专用站点
an AppScan Presence 服务器上的 使您能够扫描无法从因特网访问的站点。
静态分析
使用静态分析来扫描源代码以查找安全漏洞。为此,请下载一个小型客户机实用程序,并使用其命令行界面 (CLI) 对所有受支持的语言执行安全性分析。客户机实用程序还包含一个 Maven 插件,可用于扫描 Java 项目。Eclipse、IntelliJ IDEA 和 Visual Studio 的静态插件可通过各自市场获取。安装插件后,您可以扫描 Eclipse 和 IntelliJ IDEA 中的 Java 项目,或者扫描 Visual Studio 中的 .NET(C#、ASP.NET、VB.NET)项目。
从第三方扫描程序导入问题
无论您是使用第三方扫描程序还是执行手动渗透测试来发现问题,都可将问题从 CSV 文件导入到 ASoC 以进行分类。
您可以创建或使用预定义策略来过滤扫描中发现的问题,然后将一个或多个策略与应用程序相关联。
定制策略
如果您具有所需许可权,则可以创建/删除自己的定制策略。
与应用程序关联
启用/禁用
应用程序合规性状态
应用程序的“扫描历史记录”选项卡显示扫描结果(包含扫描统计信息)和重新扫描选项。
样本安全性报告
应用程序数据
扫描数据
问题数据
修订组
修订组当前仅适用于在静态分析中发现的问题。
生成报告
可针对应用程序中发现的问题生成 HTML 安全性报告,并可将这些报告发送给开发人员、内部审计员、渗透测试员、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。
将问题分类
缺省情况下,所有问题都分类为“新的”。可通过查看问题状态来查看问题分类。
问题状态
问题可分类为新的、未解决、进行中、无关、已重新打开、已略过和已修复。分类为未解决、进行中和已重新打开的问题将出现在应用程序的问题网格中。
修复
在确定风险和划分漏洞优先级之后,安全团队可开始修复过程。
重新扫描
首次扫描后,如果修复了问题,则可以针对相同应用程序进行多次扫描,并覆盖先前的结果,这样仪表板将始终显示当前结果。当您再次扫描(而不是开始新扫描),新扫描将覆盖先前的扫描。
静态分析扫描结果
本主题描述静态分析扫描结果中可用的功能。
度量进度
使用仪表板可跟踪您的组织中应用程序的各种度量和趋势。根据您的用户角色,您将仅看到您所属于的资产组的仪表板图表。
内置的 REST API 接口向您提供了可视化 RESTful Web 服务的方法。API 文档通过使用 Swagger 构建,在其中能够测试 API 操作并立即查看结果,从而帮助您更快地扫描应用程序。
生成 API 密钥
使用密钥标识和私有密钥来访问 ASoC 的 REST API 并从某些 ASoC 客户机工具登录(例如,从 Jenkins 插件和从静态分析 CLI 和 IDE 插件登录)。
OData
本部分提供有关通过 ASoC API 使用开放数据协议 (OData) 的信息和提示。
如果使用此服务时遇到问题,您可以执行这些故障诊断任务以确定要采取的纠正措施。
AppScan Presence
此部分针对使用 AppScan Presence 时发现的错误建议了故障诊断任务。
静态分析
如果遇到静态分析的问题,可执行以下故障诊断任务来确定要采取的纠正措施。
常见问题解答、有关将 ASoC 集成到产品生命周期 (SDLC) 的信息以及 ASoC API 文档。
常见问题解答
一些常见问题。
HCL AppScan on Cloud 插件和集成
HCL AppScan on Cloud 包括以下插件和集成。
威胁类和 CWE
表格显示由 ASoC 测试的问题的威胁类及其相关 CWE 编号。
了解专用站点扫描
ASoC 通过基于云的扫描程序提供动态应用程序安全测试 (DAST) 作为 SaaS。此功能要求基于云的扫描程序能够访问受测应用程序。可以对公开的基于 Web 的应用程序进行扫描,而不会出现问题。但是,只有在添加网络组件(例如 VPN 或代理)或更改网络以允许扫描程序访问 Web 应用程序的主机服务器之后,才可以进行专用站点扫描 (PSS)。