欢迎
欢迎使用 HCL AppScan on Cloud 文档。
入门
安全就是保护您的有价值的资产。您的组织拥有的某些最重要的资产以信息的形式存在,例如知识产权、策略规划和客户数据。保护该信息对于您的组织非常重要,这样您才能继续运营、保持竞争力并满足法规需求。
最近更新
发现即将发布和最近添加的功能。
系统要求
本主题提供了系统要求、受支持操作系统和 ASoC 分析器语言的链接。还提供了关于受支持浏览器和设备的最小分辨率的信息。
订阅
“我的订阅”显示了您的组织的所有订阅的状态,包括应用程序或扫描的剩余数量以及开始日期和结束日期。
工作流程
本部分概述了具有有效订阅的授权用户的典型 ASoC 工作流程。
样本应用程序和脚本
使用样本应用程序练习使用 ASoC 扫描。
演示视频
这些“操作方法”视频演示了如何使用 ASoC 及其如何适合您的工作流程,并提供了提示和技巧。
联系和支持
一些有用的链接
证书
ISO/IEC 证书。
服务描述
服务描述描述了 HCL AppScan On Cloud 服务。
试用版的使用条款
HCL AppScan on Cloud 服务试用版协议
本部分将介绍主 ASoC 菜单栏上的项目并链接到更详细的信息。
管理
定义用户、应用程序、策略并配置 DevOps 集成。
用户
用户管理可将敏感应用程序分配到资产组,然后将特定用户添加到这些组,从而帮助您限制对敏感应用程序的访问权。
应用程序
应用程序是与同一项目相关的扫描的集合。它可以是 Web 站点、桌面应用程序、移动应用程序、Web 服务或应用程序的任何组件。应用程序使您能够评估风险、确定趋势,并确保您的项目符合行业和组织政策。
策略
您可以应用预定义策略以及您自己的定制策略,以仅显示与您相关的问题的数据。
DevOps
用于在 SDLC 中加入 ASoC 的工具。
个人扫描
个人扫描是一种评估开发中应用程序的相对安全性而又不影响整个应用程序扫描数据或合规性的方法。
审计跟踪
审计跟踪(“组织”>“审计跟踪”)记录用户活动。
DAST
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全扫描。对于开发环境,专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
动态 (DAST) 扫描
ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中提供的配置选项,或上载 AppScan Standard 配置(模板文件)或完整扫描文件。
AppScan Presence
服务器上的 AppScan Presence 使您能够扫描不可从因特网访问的站点,而且能够合并扫描以作为功能测试的一部分。
AppScan 流量记录器
您可以借助 AppScan 流量记录器(DAST 代理)记录流量以用作探索数据。可按需创建流量记录器实例,以记录稍后将用于 DAST 扫描的流量。
专用站点
服务器上的 AppScan Presence 能让您扫描无法从互联网访问的站点。
IAST
使用安装在应用程序上的代理程序,通过监控所有合法和恶意的交互,ASoC 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说,该过程是“被动的”,因此可以无限期运行。
交互式 (IAST) 监视
ASoC 可以监视普通的应用程序运行时行为,以检测漏洞。
启动 IAST 会话
在应用程序服务器上安装 IAST 代理,并配置扫描。
部署 IAST 代理
您需要在应用程序服务器上部署 IAST 代理,以便它可以监视与应用程序的通信,并向 ASoC 报告。
Deploy on Azure
Use the IAST agent to monitor applications that run on Azure App Service.
使用 REST API 进行 IAST
您可以通过 REST API 配置并开始 IAST 扫描(包括代理部署)。
IAST 配置文件
您可以配置 JSON 文件以覆盖缺省 IAST 设置,并仅报告您希望了解的漏洞。
用户设置
某些低级别 IAST 行为可以使用用户参数进行控制。
静态分析
使用静态分析 (SAST) 来扫描应用程序以查找安全漏洞。为此,请使用 AppScan Go!,或下载一个小型客户机实用程序,并使用其命令行界面 (CLI) 对所有受支持的语言的源代码或二进制文件执行安全性分析。Eclipse 和 Visual Studio 的静态插件可通过各自市场获取。安装插件后,您可以扫描 Eclipse 中的 Java 项目,或者扫描 Visual Studio 中的 .NET(C#、ASP.NET、VB.NET)项目。此处列出了有关插件和集成的其他信息。
静态分析的系统要求
本部分介绍了当您执行静态分析时受支持的操作系统以及 ASoC 可以扫描的文件类型、位置和项目。
扫描安全漏洞
要扫描源代码中的安全漏洞,请执行以下主题中的步骤。
样本应用程序和脚本
使用样本应用程序练习使用 ASoC 扫描。
对静态分析进行故障诊断
如果遇到静态分析的问题,可执行以下故障诊断任务来确定要采取的纠正措施。
结果
应用程序的“扫描历史记录”选项卡显示扫描结果(包含扫描统计信息)和重新扫描选项。
问题
应用程序的问题页显示发现的所有问题。您可以应用各种过滤器来查看您需要的问题,然后单击任何问题以打开详细的问题信息窗格。
自动问题关联
AppScan 可以分析 IAST、DAST 和 SAST 发现的问题,以识别代码中的常见薄弱环节(或“关联”),从而确定可以通过一次或统一修复工作解决多个漏洞的位置。
修订组
修订组当前仅适用于在静态分析中发现的问题。
报告
您可以针对应用程序中发现的问题生成报告,以发送给开发人员、内部审计员、渗透测试员、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。
将问题分类
缺省情况下,所有问题都分类为“新的”。可通过查看问题状态来查看问题分类。
问题状态
问题可分类为Open、In Progress、Noise、Reopened、Passed和Fixed。
问题严重性
问题可以按出现在应用程序的问题网格中的类别分类。
修复
在确定风险和划分漏洞优先级之后,安全团队可开始修复过程。
重新扫描
首次扫描后,如果修复了问题,则可以针对相同应用程序进行多次扫描,并覆盖先前的结果,这样仪表板将始终显示当前结果。当您再次扫描(而不是开始新扫描),新扫描将覆盖先前的扫描。
IAST 扫描结果
交互 (IAST) 扫描条目显示自上次开始扫描以来的结果。
故障诊断
如果使用此服务时遇到问题,您可以执行这些故障诊断任务以确定要采取的纠正措施。
AppScan Presence
此部分针对使用 AppScan Presence 时发现的错误建议了故障诊断任务。
常见问题解答与参考资料
常见问题解答、有关将 ASoC 集成到产品生命周期 (SDLC) 的信息以及 ASoC API 文档。
FAQ
一些常见问题。
威胁类和 CWE
表格显示由 ASoC 测试的问题的威胁类及其相关 CWE 编号。
了解 DAST 扫描
ASoC 动态 (DAST) 扫描中包含两个阶段:探索和测试。尽管扫描过程的绝大部分对于用户来说是无缝的,并且在扫描完成之前不需要用户输入,但理解这背后的原理很有用。“探索”阶段可以在自动扫描中自动运行,也可以由用户手动运行,或者将两者结合。
了解专用站点扫描
ASoC 通过基于云的扫描程序提供动态应用程序安全测试 (DAST) 作为 SaaS。此功能要求基于云的扫描程序能够访问受测应用程序。可以对公开的基于 Web 的应用程序进行扫描,而不会出现问题。但是,只有在添加网络组件(例如 VPN 或代理)或更改网络以允许扫描程序访问 Web 应用程序的主机服务器之后,才可以进行专用站点扫描 (PSS)。
CSV 格式
本部分将描述如何将响应数据另存为 CSV 格式。