关于 HCL AppScan on Cloud
安全就是保护您的有价值的资产。您的组织拥有的某些最重要的资产以信息的形式存在,例如知识产权、策略规划和客户数据。保护该信息对于您的组织非常重要,这样您才能继续运营、保持竞争力并满足法规需求。
介绍
HCL AppScan on Cloud (ASoC) 是满足所有应用程序安全性测试需求的 SaaS 解决方案。它将所有 HCL 安全性测试功能整合到一个服务中,从而针对所有技术提供一致的体验。HCL 安全性 AppScan on Cloud 可以使用动态和静态技术扫描 Web、移动和桌面应用程序。
- 动态分析 (DAST)
- ASoC 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境,专用站点扫描技术可帮助 ASoC 扫描开放因特网无法访问的应用程序。请参阅动态扫描 (DAST)。
- 静态分析 (SAST)
- ASoC 对 Web 和桌面应用程序执行安全性扫描。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。IFA 会极大地减少对安全性结果进行分类的手动工作,从而仅关注积极的高价值问题。ICA 有助于减少或完全避免其他技术所需的复杂配置,从而自动提高扫描精度。请参阅静态 (SAST) 扫描。
- 交互式监控 (IAST)
- 使用安装在应用程序上的代理程序,通过监控所有合法和恶意的交互,ASoC 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试来说,该过程是“被动的”,因此可以无限期运行。请参阅关于交互式监控 (IAST)。
- 软件成分分析 (SCA)
- ASoC 识别应用程序中使用的开源包,报告已知漏洞的包,并提供补救建议。SCA 测试可以单独运行,也可以作为静态扫描的一部分运行。请参阅关于软件成分分析 (SCA)。
ASoC 具有可启用其所有功能的 Web 界面。但是,也可以使用 IDE 和自动化系统插件;如果不需要,则无需与服务本身进行交互。例如,开发人员可以留在自己的集成开发环境 (IDE) 中,而不必在 IDE 和浏览器之间切换。IDE 插件还启用了使用 Web 界面不可能进行的代码交互。
为了补充其功能,ASoC 还公开了一套完整的 REST API,这些 API 可以驱动 ASoC 中的操作。这使得 ASoC 非常适合集成到自动化环境中。客户可以使用 REST API 来组成自己的工作流程,而不必局限于 ASoC 工作流程。
ASoC 帮助遵守安全性策略。通过使用预定义的策略或定义定制策略,可以轻松地识别哪些应用程序不合规并需要引起注意。通过根据定义的策略进行过滤,可以优先考虑问题修复。不是迷失在一堆问题中,而是根据特定策略进行过滤,有助于优先考虑针对特定合规性的修复程序。
ASoC 还允许您运行个人扫描。个人扫描将出现在应用程序的扫描列表中,但扫描数据不会与其他应用程序结果合并。这使开发人员可以运行扫描,而发现的问题不会出现在整个应用程序数据中。因此,在将代码推送到主代码流之前,可以检查个人扫描的结果是否存在严重问题。
ASoC 帮助利用所有扫描功能来扫描多种类型的应用程序,管理整个组织的安全性合规性并自动执行安全性扫描操作。