使用 REST API 的 IAST

透過 REST API 配置並啟動 IAST 掃描，包括代理程式部署。

開始之前

如需 ASoC REST API 的一般資訊，請參閱 REST API

另請參閱 Swagger 的下列資源：

程序

取得 API 金鑰。
透過執行下列其中一項，取得要在其中執行掃描的應用程式 ID：
- 在使用者介面中，開啟特定應用程式的標籤，然後檢視 URL。單字「scans」之前的最後一部分是 ID。例如，在這種情況下：
```
cloud.appscan.com/AsoCUI/serviceui/main/myapps/app01/123456a-78b-90c-123ab4c/scans
```
  應用程式 ID 是：123456a-78b-90c-123ab4c
- 或者，您可以透過 REST API GetApps 端點取得使用者（API 金鑰）的全部應用程式 ID 清單：
```
request URL:
                  GET https://cloud.appscan.com/api/v4/Apps
                  headers:
                  "Authorization=Bearer <api key>"
                  Parameters:
                  “$select=Id"
```
使用 CreateIastAnalyzerScan 端點建立 IAST 掃描：
```
request URL:
            POST https://cloud.appscan.com/api/v4/Scans/IASTAnalyzer
            headers:
            " Authorization=Bearer <token>, Accept: application/json, Content-Type: application/json"
            Json: {
            "ConnLostStopTimer": true, 
            "ScanName": <scanName>, 
            "EnableMailNotification": true, 
            "Locale": "en-US", 
            "AppId": <appId>, 
            "Personal": false
            }
```
主體是輸入參數 scanModel，這是具有下列欄位的 json 結構：
- ScanName 是您為掃描提供的名稱
- AppId（請參閱上一步）
- ConnLostStopTimer 是選用的逾時值（以分鐘為單位），如果代理程式連接中斷，該逾時可停止掃描。如果保留空白，則即使代理程式連接中斷，掃描也將繼續進行，而且沒有需要報告的項目。可能的使用情況是防止其他使用者在這段期間取得授權。
- 除非要將掃描作為個人掃描執行，否則應將 Personal 設定為 false。
回應主體包括 ScanId。儲存此內容以便在下一步中使用。
下載代理程式，此代理程式已預先配置為向上一步中建立的掃描報告問題。使用 Tools/DownloadWithKey 端點執行此動作。
```
request URL:
          GET https://cloud.appscan.com/api/v4/Tools/IastAgentWithKey?scanId==<scan_id>
          headers:
          "Authorization=Bearer <api key>, Accept: application/zip"
```
scan_id 是上一步結束時儲存的 ID。
在應用程式伺服器上部署 IAST 代理程式。
代理程式現在正在監視應用程式的流量，並向 ASoC 報告偵測到的漏洞。
將流量傳送到應用程式以供 IAST 監視。這可以是一般的系統測試或 DAST 掃描。
現在，發現的問題會記錄在 IAST 掃描中。