jump.to.content
HCL Logo Help Center
HCL TECHNOLOGIES ABOUT US PRODUCTS & SOLUTIONS RESOURCES CONTACT US
歡迎使用
歡迎使用 HCL AppScan on Cloud 的說明文件。
安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊,例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
最近的更新項目
系統需求
這個主題為 ASoC 分析人員,提供系統需求、支援的作業系統和語言的相關鏈結,並瞭解服務所支援的瀏覽器和最低解析度。
存取管理
訂閱
「我的訂閱」顯示貴組織所有訂閱的狀態,包含剩餘的應用程式或掃描數目,以及開始和結束日期。
工作流程
本節概述具有有效訂閱之授權使用者的典型 ASoC 工作流程。
主功能表
本節說明主要 ASoC 功能表上的項目,並且提供相關文件的鏈結。
示範影片
這些「使用方法」影片示範如何使用 ASoC,以及它如何融入您的工作流程,並且提供提示和技巧。
聯絡和支援
以下是一些可能對您有幫助的鏈結。
ISO/IEC 27001:2013 認證
HCL AppScan on Cloud 具有截至 2018 年 4 月的 ISO/IEC 27001:2013 認證。
服務說明
試用版使用條款
這些使用條款適用於 AppScan on Cloud Service 試用版。訂購、存取或使用 HCL AppScan on Cloud 試用版即代表您同意此使用條款。
使用者管理有助您限制對機密應用程式的存取權, 作法是將它們指派給資產群組,然後新增特定使用者至那些群組。
管理使用者
檢查您的使用者,並決定各自所需的應用程式和資產群組存取權。請考慮依業務單位或地理位置進行分組。依預設,Cloud Marketplace 中未指定為管理員的所有使用者都是應用程式測試人員。請決定僅擔任報告檢視者的使用者, 並變更其角色。
使用者角色
使用者是由管理員指派給資產群組。無法刪除預先定義的使用者角色。
資產群組
資產群組代表您組織的抽象元件,例如:「金融」或「工程」。管理員可以限制對特定應用程式的存取權, 作法是將這些應用程式指派給資產群組,並限定屬於該群組的使用者。
應用程式屬性
應用程式屬性是應用程式的內容,在「我的應用程式」標籤中顯示成直欄標頭。您可以利用它們來過濾應用程式清單,以著重於您想要調查的應用程式。下表說明您可以編輯的預先定義屬性(「建立日期」和「前次更新」由 ASoC 控制)。
建立應用程式
建立應用程式並匯入問題,藉此針對重要 Web 應用程式上的業務衝擊,追蹤安全測試進度。
過濾您的應用程式庫存
如果您有許多應用程式要測試安全問題,如何從龐大的清單中找出有興趣的問題?可依業務單位或風險評級來過濾您的庫存,以減少測試範圍。
正在匯入應用程式清單
匯入應用程式庫存清單可減少冗餘手動工作,節省您的時間。請從應用程式屬性的試算表範例開始,或將試算表範例與您現有的清單合併。應用程式清單必須是 CSV 格式。請確定您使用試算表編輯器(例如 Microsoft™ Excel 或 Apache OpenOffice Calc)來編輯 CSV 檔。
伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站,以及在功能測試的程序中納入掃描。
系統需求
建立 AppScan Presence
對於專用 Web 或行動式應用程式,或是要在功能測試程序的程序中包括掃描, 您都必須建立 AppScan Presence,使其可存取 Web 應用程式或後端伺服器和網際網路。相同的 Presence 可用於 Android 應用程式、iOS 應用程式和網站。支援 Proxy 連線。
開始 AppScan Presence
配置 Proxy 伺服器
如果要在 AppScan Presence 中使用 Proxy 伺服器,則必須啟動並進行配置。
使用 Proxy Server
您可以使用 AppScan Presence Proxy 伺服器來記錄資料流量,將其儲存為 CONFIG 檔案,並將其匯入以執行 ASoC 掃描。您可以選擇性地加密此檔案,如同以下程序後面的子區段中所述。
配置專用網站伺服器 Proxy
如果您的私密網路需要 Private Site Server 使用 Proxy 來連接 Web 應用程式或後端伺服器(內部 Proxy)或網際網路(外寄 Proxy),請依下列配置。
配置 PAC 檔案
如果需要 Proxy 自動配置 (PAC) 檔案才能連線到您的網站中的不同網域,請配置 AppScan Presence,如下所示。
更新 Presence 金鑰
在您原始下載 Presence 時,其中會包含啟動金鑰。當該金鑰到期時,您必須以有效的金鑰來取代它。
學習如何在應用程式上執行掃描以及從第三方掃描器匯入問題。
範例應用程式與 Script
使用範例應用程式練習搭配 ASoC 一起掃描。
行動式掃描
ASoC 可以對 iOS 和 Android 應用程式執行互動式和靜態的分析。
動態 (DAST) 掃描
ASoC 可以對執行於瀏覽器中的應用程式執行動態分析。
靜態 (SAST) 掃描
使用靜態分析來掃描原始碼是否有安全漏洞。如果要完成這個作業,請下載小型用戶端公用程式,並且使用其指令行介面 (CLI) 以任何支援的語言執行安全分析。用戶端公用程式也包含 Maven 外掛程式,可用來掃描 Java 專案。Eclipse、IntelliJ IDEA 和 Visual Studio 的靜態分析外掛程式可以透過各自的市集取得。安裝外掛程式之後,您可以在 Eclipse 和 IntelliJ IDEA 中掃描 Java 專案,或是在 Visual Studio 中掃描 .NET(C#、ASP.NET、VB.NET)專案。
互動式 (IAST) 掃描
ASoC 可以對正常應用程式執行時間行為進行互動式分析找出漏洞。
個人掃描
個人掃描是評估開發中應用程式相對安全性的一種方式,不會影響整體應用程式掃描資料或相符性。
私有網站
AppScan Presence (在您的伺服器上)可讓您掃描無法從網際網路存取的網站。
從第三方掃描器匯入問題
無論是使用第三方掃描器或進行手動滲透測試以探索問題,您都可以從 CSV 檔將問題匯入 ASoC 以進行分類。
您可以建立或使用預先定義的原則來過濾在掃描中探索到的問題,以及將一或多個原則關聯至應用程式。
自訂原則
如果您有必要的許可權,則可以建立自己的自訂原則。
關聯至應用程式
啟用/停用
應用程式相符性狀態
應用程式的「掃描歷程記錄」標籤會顯示掃描結果(包括掃描統計資料)及重新掃描選項。
範例安全報告
應用程式資料
掃描資料
問題資料
修正群組
「修正程式群組」目前僅套用至在「靜態分析」中發現的問題。
產生報告
您可以針對在應用程式中所發現的問題產生 HTML 安全報告,並將它們傳送給開發人員、內部審核員、滲透測試人員、經理及 CISO。安全資訊可能很廣泛,您可根據需求進行過濾。
分類問題
依預設,所有問題都會分類為新的。您可以檢視問題狀態來查看問題分類。
問題狀態
問題可以分類為新的、待解決、進行中、無關、重新開啟、已通過和已修正。分類為待解決、進行中和重新開啟的問題,會出現在應用程式的「問題」網格中。
補救
判定風險並設定漏洞優先順序之後,您的安全團隊便可展開補救程序。
重新掃描
在您的第一次掃描之後,如果修正了問題,可以多次重新掃描相同的應用程式並改寫先前的結果,使儀表板一律顯示目前的結果。當您重新掃描(不是起始新掃描)時,新的掃描會改寫前一個掃描。
靜態分析掃描結果
本主題說明靜態分析掃描結果中可用的特性。
IAST 掃描結果
互動式 (IAST) 掃描項目顯示自上次啟動掃描以來的結果。
測量進度
使用儀表板,追蹤您組織中應用程式的各種度量和趨勢。視您的使用者角色而定, 您只會看到所屬資產群組的儀表板圖表。
內建的 REST API 介面可讓您將 RESTful Web 服務視覺化。API 文件是使用 Swagger 來建置的,可讓您測試 API 作業並立即檢視結果,來協助您更快速地掃描應用程式。
產生 API 金鑰
請使用「金鑰 ID」和「金鑰密碼」來存取 ASoC REST API,並從某些 ASoC 用戶端工具登入(例如,從 Jenkins 外掛程式以及從靜態分析 CLI 和 IDE 外掛程式登入)。
OData
本節提供透過 ASoC API 使用 Open Data 通訊協定 (OData) 的資訊和提示。
如果您遇到此服務方面的問題,可以執行這些疑難排解工作來判定要採取的更正動作。
AppScan Presence
本節會針對使用 AppScan Presence 時發現的錯誤,提供疑難排解作業的建議。
靜態分析
如果您遇到靜態分析方面的問題,可以執行這些疑難排解工作,以判斷要採取的更正動作。
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊,以及 ASoC API 說明文件。
常見問題 (FAQ)
一些常見的問題。
HCL AppScan on Cloud 外掛程式和整合
HCL AppScan on Cloud 包含下列外掛程式和整合。
威脅分類和 CWE
表格顯示由 ASoC 測試之問題的威脅分類,及其相關 CWE 號碼。
瞭解專用網站掃描
ASoC 提供來自雲端型掃描器(例如 SaaS)的動態應用程式安全測試 (DAST)。這個功能需要雲端型掃描器能夠存取受測的應用程式。公用的 Web 型應用程式可以掃描,沒有問題。但是,專用網站掃描 (PSS) 只有在新增網路元件(例如 VPN 或 Proxy),或將網路變更為允許掃描器存取 Web 應用程式的主機伺服器之後才可行。