ホーム
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
DevOps
ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
REST API
組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API 資料は Swagger を使用して作成されています。この資料を使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
API 鍵の生成
鍵 ID と鍵の秘密を使用して AppScan on Cloud の REST API にアクセスし、ASoC クライアント・ツール (Jenkins プラグイン、Static Analyzer コマンド行ユーティリティー、IDE プラグインなど) のいずれかからログインします。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
- ユーザー数
  ユーザー管理により、重要なアプリケーションを資産グループに割り当てて特定のユーザーをそうしたグループに追加することで、そのようなアプリケーションへのアクセスを制御することができます。
- アプリケーション数
  アプリケーションは、同じプロジェクトに関連するスキャンのコレクションです。Web サイト、デスクトップ・アプリ、モバイル・アプリ、Web サービス、アプリの任意のコンポーネントなどが対象になる可能性があります。「アプリケーション」では、リスクを評価したり、傾向を把握したり、プロジェクトが業界や組織のポリシーに準拠していることを確認したりできます。
- ポリシー
  事前定義されたポリシーや独自のカスタム・ポリシーを適用して、自分に関連する問題のデータのみを表示できます。
- DevOps
  ソフトウェア開発ライフサイクルの ASoC の組み込み用ツール。
  - REST API
    組み込みの REST API インターフェースは、RESTful Web サービスを視覚化する方法を提供します。API 資料は Swagger を使用して作成されています。この資料を使用すると API 操作をテストしてすぐに結果を確認できるので、アプリケーションをより迅速にスキャンできます。
    - REST API の v4 へのアップグレードの技術概要
      REST API のバージョン 4.0 では、以前のバージョン (v2) に比べて多くの機能強化、最適化、改善が行われています。API v4 は v2 と同じアクセス・トークンを使用して互換性を維持するため、既存のトークンを引き続き使用しながら、コードを段階的に v4 に移行することができます。特に、API v4 のパス・プレフィックスが「/api/v2」から「/api/v4/」に変更されました。多くの関数は名前とモデルを維持しているため、「v2」から「v4」に簡単に移行できることが保証されますが、一部の関数は変更されています。このトピックはテクニカル・ガイドとして機能し、API v4 で導入された主な変更点の概要を説明しています。
    - API 鍵の生成
      鍵 ID と鍵の秘密を使用して AppScan on Cloud の REST API にアクセスし、ASoC クライアント・ツール (Jenkins プラグイン、Static Analyzer コマンド行ユーティリティー、IDE プラグインなど) のいずれかからログインします。
    - OData
      このセクションでは、ASoC API を介して Open Data Protocol (OData) を使用するための情報とヒントを示します。
    - CSV にエクスポート
      このセクションでは、応答データを CSV 形式で保存する方法について説明します。
  - Webhook
    Webhook により、AppScan on Cloud で発生したイベントに関する通知を受け取れるようになりました。
  - プラグインおよび統合
- 個人スキャン
  個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
- スキャン状況
- 監査証跡
  監査証跡 (「組織」 > 「監査証跡」) は、ユーザー・アクティビティーを記録します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションとデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

API 鍵の生成

鍵 ID と鍵の秘密を使用して AppScan on Cloud の REST API にアクセスし、ASoC クライアント・ツール (Jenkins プラグイン、Static Analyzer コマンド行ユーティリティー、IDE プラグインなど) のいずれかからログインします。

このタスクについて

鍵 ID はユーザーごとに固有です。鍵 ID がない場合や、鍵の秘密を失くした場合は、新しい鍵 ID と鍵の秘密の組み合わせを生成できます。新しいキーを生成するには、次のいずれかを実行します。

手順

AppScan on Cloud サービスの「API 鍵」ページに移動します。
- 北アメリカ地域のデータセンター・ユーザー:https://cloud.appscan.com/main/apikey
- 西ヨーロッパ地域のデータセンター・ユーザー:https://cloud.appscan.com/eu/main/apikey
ユーザー・インターフェースからキーを生成します。
1. 「ツール ()」 > 「API」を選択します。
2. 「生成」をクリックし、キー ID とキーの秘密をメモして自分用に記録します。
  
  注: このぺージから離れた後は、キーの秘密を取得できません。「生成」をクリックするたびに、新しいキー ID とキーの秘密が作成されます。前の鍵 ID は削除されて、新しい鍵 ID で置き換えられます。

次のタスク

Swagger で、生成した鍵 ID と鍵の秘密を /api/v4/Account/ApiKeyLogin REST API で使用して新しいベアラー・トークンを生成します。生成したトークンを、Swagger インターフェースのアクセス・トークン・フィールドで使用できます。