ホーム
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
DevOps
ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
REST API
組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API 資料は Swagger を使用して作成されています。この資料を使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
OData
このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
例と参考資料

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
- ユーザー数
  ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
- アプリケーション数
  アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
- ポリシー
  事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
- DevOps
  ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
  - REST API
    組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API 資料は Swagger を使用して作成されています。この資料を使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
    - REST API の v4 へのアップグレードの技術概要
      REST API のバージョン 4.0 では、以前のバージョン (v2) に比べて多くの機能強化、最適化、改善が行われています。API v4 は v2 と同じアクセス・トークンを使用して互換性を維持するため、既存のトークンを引き続き使用しながら、コードを段階的に v4 に移行することができます。特に、API v4 のパス・プレフィックスが「/api/v2」から「/api/v4/」に変更されました。多くの関数は名前とモデルを維持しているため、「v2」から「v4」に簡単に移行できることが保証されますが、一部の関数は変更されています。このトピックはテクニカル・ガイドとして機能し、API v4 で導入された主な変更点の概要を説明しています。
    - API 鍵の生成
      鍵 ID と鍵の秘密を使用して AppScan on Cloud の REST API にアクセスし、ASoC クライアント・ツール (Jenkins プラグイン、Static Analyzer コマンド行ユーティリティー、IDE プラグインなど) のいずれかからログインします。
    - OData
      このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
      - よく使用される OData クエリー・パラメーター
      - $filter パラメーター
        $filter は、最も多彩な OData パラメーターであり、多数の演算子があります。
      - 例と参考資料
    - CSV にエクスポート
      このセクションでは、応答データを CSV 形式で保存する方法について説明します。
  - Webhook
    Webhook により、AppScan on Cloud で発生したイベントに関する通知を受け取れるようになりました。
  - プラグインおよび統合
- 個人スキャン
  個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
- スキャン状況
- 監査証跡
  監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティーを記録します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションとデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

例と参考資料

アプリケーションの例

失敗したポリシーを少なくとも 1 つ含むアプリケーションの名前を指定するには、次のように指定します。https://cloud.appscan.com/api/v4/Apps?$filter=ComplianceStatuses/any(d:d/Compliant+eq+false)&$select=Name
重大度が「高」の新しい問題があるアプリケーションのリストを取得するには、次のように指定します。https://cloud.appscan.com/api/v4/Apps?$filter=RiskRating+eq+'Critical'+and+NewIssues+gt+0
2024 年 1 月 1 日以降に作成されたアプリケーションの名前、ID、および作成日を指定するには、次のように指定します。https://cloud.appscan.com/api/v4/Apps?$filter=DateCreated+gt+'2024-01-01z'+&$select=Name,Id,DateCreated

スキャン例

「準備完了」状況で完了し、個人用として分類されていない個人スキャンを指定するには、次のように指定します。https://cloud.appscan.com/api/v4/Scans?$filter=LatestExecution/Status+eq+'Ready'+and+IsPersonal+eq+true
スキャン名に「Jenkins」という用語が含まれるすべてのスキャンを取得するには、次のように指定します。https://cloud.appscan.com/api/v4/Scans?$filter=contains(Name,'jenkins')。ストリング検索では常に大文字と小文字が区別されないことに注意してください。

参照