關於 HCL AppScan on Cloud
安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊,例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
介紹
IBM AppScan on Cloud (ASoC) 是適用於所有應用程式安全測試需求的 SaaS 解決方案,可將所有 IBM Security 的測試功能合併至單一服務,對所有技術提供一致的體驗。IBM Security AppScan on Cloud 可以使用動態和靜態技術,掃描 Web、行動式和桌面應用程式。
- 動態分析 (DAST)
- ASoC 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境,ASoC 則會借助「專用網站掃描」技術的輔助,掃描無法透過開放網際網路存取的應用程式。請參閱動態掃描 (DAST)。
- 靜態分析 (SAST)
- ASoC 可針對網路和桌面應用程式執行安全掃描。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。IFA 可大幅降低手動分類安全掃描結果的負擔,僅專注於高價值的實際問題。ICA 會協助減少或甚至完全避免在其他技術中所需的複雜配置,自動改善掃描的正確性。請參閱靜態 (SAST) 掃描。
- 互動式監視 (IAST)
- 使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。請參閱關於互動式監視 (IAST)。
- 軟體組成分析 (SCA)
- ASoC 可識別應用程式中使用的開放原始碼套件、報告具有已知漏洞的項目,並提供補救建議。SCA 測試可以獨立執行,或者在靜態掃描中執行。請參閱關於軟體組成分析 (SCA)。
ASoC 具有可啟用其所有功能的 Web 介面。但也可以使用 IDE 和自動化系統外掛程式,如此一來即可省下不必要的服務互動。例如,開發人員可以繼續在自己的整合開發環境 (IDE) 中,不用在 IDE 與瀏覽器之間來回切換。IDE 外掛程式也會啟用程式碼互動,這在使用 Web 介面時是無法達成的。
為了補足其功能,ASoC 也公開了一組綜合性的 REST API,可在 ASoC 中驅動作業。這讓 ASoC 在整合至自動化環境時更加理想。客戶可以使用 REST API 編寫自己的工作流程,而無須綁定 ASoC 工作流程。
ASoC 可協助安全原則相符性。透過使用預先定義的原則,或是定義自訂原則,您可以輕鬆識別不符規範且需要注意的應用程式。藉由根據定義的原則進行過濾,將可以設定問題修正的優先順序。根據特定原則進行過濾可幫助設定修正的優先順序,鎖定特定的相符性,不會在海量的問題中失去方向。
ASoC 也可讓您執行個人掃描。個人掃描會顯示在應用程式的掃描清單中,但是掃描資料不會與其餘應用程式結果合併。這樣可以讓開發人員執行掃描,且不會讓發現的問題顯示在整體應用程式資料中。因此個人掃描的結果可以在將程式碼推送至主要程式碼串流之前,針對重要問題進行檢查。
ASoC 可助您運用所有掃描功能,掃描各種類型的應用程式、管理整個組織的安全相符性,並讓安全掃描作業自動化。