开始使用
欢迎使用 HCL AppScan on Cloud 文档,在其中可找到关于如何安装、维护和使用此服务的信息。
关于 HCL AppScan on Cloud
安全就是保护您的有价值的资产。您的组织拥有的某些最重要的资产以信息的形式存在,例如知识产权、策略规划和客户数据。保护该信息对于您的组织非常重要,这样您才能继续运营、保持竞争力并满足法规需求。
角色和工作流程
了解具有有效订阅的不同授权 ASoC 用户的不同 ASoC 任务和工作流程。
以下项的新增功能 AppScan on Cloud
发现即将发布和最近添加的功能。
系统需求
系统需求、受支持操作系统和 ASoC 分析器语言。还提供了关于受支持浏览器和设备的最小分辨率的信息。
预订
我的订阅显示了您的组织的所有订阅的状态,包括应用程序或扫描的剩余数量以及开始日期和结束日期。
样本应用程序和脚本
使用样本应用程序练习使用 ASoC 扫描。
演示视频
这些“操作方法”视频演示了如何使用 ASoC 及其如何适合您的工作流程,并提供了提示和技巧。
联系和支持
人力资源和联机资源的有用链接。
证书
ISO/IEC 证书
试用版的使用条款
HCL AppScan on Cloud 服务试用版协议
本部分将介绍主 AppScan on Cloud 菜单栏上的项目,以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
用户
用户管理让您可将敏感应用程序分配到资产组,然后将特定用户添加到这些组,从而帮助您控制对敏感应用程序的访问权。
应用程序
应用程序是与同一项目相关的扫描的集合。它可以是 Web 站点、桌面应用程序、移动应用程序、Web 服务或应用程序的任何组件。借助应用程序,您可以评估风险、确定趋势并确保您的项目符合行业和组织政策。
策略
您可以应用预定义策略以及您自己的定制策略,以仅显示与您相关的问题的数据。
DevOps
用于将 ASoC 集成到软件开发生命周期中的工具。
个人扫描
个人扫描是一种评估开发中应用程序的相对安全性而又不影响整个应用程序扫描数据(例如问题)或合规性的方法。
审计跟踪
审计跟踪(组织 > 审计跟踪)记录用户活动。
动态分析
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境,专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
关于动态分析 (DAST)
ASoC 动态 (DAST) 扫描中包含两个阶段:探索和测试。即使大多数扫描过程对用户是无缝的,并且在扫描完成之前不需要输入,但了解动态扫描的工作方式可以帮助您更好地了解扫描在开发过程中的作用。
动态扫描 (DAST)
ASoC 可对在浏览器或 Web API 中运行的应用程序执行动态分析。使用 ASoC 中提供的配置选项,或上载 AppScan Standard 配置(模板文件)或完整扫描文件。
AppScan Presence
服务器上的 AppScan Presence 使您能够扫描不可从因特网访问的站点,而且能够合并扫描以作为功能测试的一部分。
记录流量
您可以使用 AppScan Activity Recorder 浏览器扩展(适用于 Chrome 或 Edge)、HCL AppScan 流量记录器代理服务器或 AppScan Standard 来记录流量,作为 DAST 扫描的探索数据。
HCL AppScan 流量记录器
借助 HCL AppScan 流量记录器(DAST 代理),您可以记录流量以用作探索数据。可按需创建流量记录器实例,以记录稍后将用于 DAST 扫描的流量。
IAST 总数
“IAST 总数”(交互式应用程序安全测试)利用 IAST 功能增强动态分析 (DAST) 扫描,从而缩短扫描和补救时间,同时发现更广泛的漏洞。
专用站点
服务器上的 AppScan Presence 使您能够扫描无法从因特网访问的站点。
交互式监控
使用安装在应用程序上的代理程序,通过监控所有合法和恶意的交互,ASoC 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说,该过程是“被动的”,因此可以无限期运行。
关于交互式监控 (IAST)
ASoC 可以监控普通的应用程序运行时行为,以检测漏洞。
启动 IAST 会话
在应用程序服务器上安装 IAST 代理程序,并配置扫描。
部署 IAST 代理程序
在应用程序服务器上部署 IAST 代理程序,以便它可以监控与应用程序的通信,并向 ASoC 报告。
在 Azure App Service 上部署
使用 IAST 代理程序监控在 Azure App Service 上运行的应用程序。
使用 REST API 进行 IAST
通过 REST API 配置并开始 IAST 扫描(包括代理程序部署)。
IAST 配置文件
配置 JSON 文件以覆盖缺省 IAST 设置,并仅报告您希望了解的漏洞。
用户设置
某些低级别 IAST 行为可以使用用户参数进行控制。
IAST 扫描结果
交互 (IAST) 扫描条目显示自上次开始扫描以来的结果。
软件组成分析
使用软件组成分析 (SCA) 扫描代码使用的开源和第三方包中的安全漏洞。SCA 包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
关于软件成分分析
软件成分分析 (SCA) 将查找和分析代码使用的开源和第三方包。
SCA 的系统需求
在执行开源测试时 ASoC 可以扫描的文件类型。
扫描库和第三方代码以查找安全漏洞
要扫描开源库和第三方代码以查找安全漏洞,请按照这些主题中的步骤操作。
SCA 扫描结果
SCA 扫描结果中可用的功能。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
静态分析的系统要求
支持的操作系统以及在执行静态分析时 ASoC 可以扫描的文件、位置和项目类型。
扫描安全漏洞
要扫描源代码中的安全漏洞,请执行以下主题中的步骤。
样本应用程序和脚本
使用样本应用程序练习使用 ASoC 扫描。
静态分析故障诊断
如果遇到静态分析的问题,可执行以下故障诊断任务来确定要采取的纠正措施。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描,您可以在其中查看扫描结果,包括扫描统计数据。要查看、重新扫描或下载报告,请选择扫描。
问题
缺省情况下,应用程序的问题页面仅显示不合规问题。您可以应用各种过滤器来查看您需要的问题,然后单击任何问题以打开详细的问题信息窗格。
关联
AppScan 可以分析 IAST、DAST 和 SAST 发现的问题,以识别代码中的常见薄弱环节(关联),从而确定可以通过一次或统一补救工作解决多个漏洞的位置。
修复组
修订组当前仅适用于在静态分析扫描中发现的问题。
报告
为在应用程序中发现的问题生成报告。将报告发送给开发人员、内部审计员、渗透测试者、经理和 CISO。安全信息可能比较广泛,并可根据您的需要进行过滤。
修复
在确定风险和划分漏洞优先级之后,安全团队可开始补救过程。
重新扫描
首次扫描后,由于修订了问题,则可以针对相同应用程序进行多次扫描,并覆盖先前的结果;仪表板将始终显示当前结果。当您再次扫描(而不是开始新扫描),重新扫描将覆盖先前的扫描。
IAST 扫描结果
交互 (IAST) 扫描条目显示自上次开始扫描以来的结果。
正在故障排除
如果使用此服务时遇到问题,您可以执行这些故障诊断任务以确定要采取的纠正措施。
AppScan Presence 故障诊断
针对使用 AppScan Presence 时发现的错误的故障诊断任务。
静态分析故障诊断
如果遇到静态分析的问题,可执行以下故障诊断任务来确定要采取的纠正措施。
常见问题解答与参考资料
常见问题解答、有关将 ASoC 集成到产品生命周期 (SDLC) 的信息以及 ASoC API 文档。