主页
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
DevOps
將 ASoC 納入軟體開發生命週期的工具。
REST API
內建的 REST API 介面可讓您將 RESTful Web 服務視覺化。API 文件是使用 Swagger 來建置的，可讓您測試 API 作業並立即檢視結果，來協助您更快速地掃描應用程式。
產生 API 金鑰
請使用「金鑰 ID」和「金鑰密碼」來存取 AppScan on Cloud REST API，並從某些 ASoC 用戶端工具登入（例如，從 Jenkins 外掛程式以及從 Static Analyzer 指令行公用程式和 IDE 外掛程式登入）。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
- 使用者
  使用者管理允許您控制對於機密應用程式的存取權，作法是將它們指派給資產群組，然後新增特定使用者至那些群組。
- 應用程式
  應用程式是與相同專案相關的掃描集合。它可以是網站、桌面應用程式、行動應用程式、Web 服務或是應用程式的任何元件。應用程式可讓您評估風險、識別趨勢，並確保您的專案符合業界和組織原則的規範。
- 原則
  您可以套用預先定義的原則以及您自己的自訂原則，以只顯示與您相關問題的資料。
- DevOps
  將 ASoC 納入軟體開發生命週期的工具。
  - REST API
    內建的 REST API 介面可讓您將 RESTful Web 服務視覺化。API 文件是使用 Swagger 來建置的，可讓您測試 API 作業並立即檢視結果，來協助您更快速地掃描應用程式。
    - REST API 升級至 v4 的技術概觀
      REST API 4.0 版提供許多比先前版本 (v2) 更好的增強、最佳化和改善。API v4 使用與 v2 相同的存取記號來維持相容性，有助於將程式碼逐步移轉至 v4，同時仍能繼續使用現有記號。值得注意的是，API v4 的路徑字首已從 "/api/v2" 變更為"/api/v4/"。雖然許多函數的名稱與模型都沒有變動，以確保能從「v2」直接轉換為「v4」，但部分函數已有所修改。本主題為技術指南，概述 API v4 導入的主要變更。
    - 產生 API 金鑰
      請使用「金鑰 ID」和「金鑰密碼」來存取 AppScan on Cloud REST API，並從某些 ASoC 用戶端工具登入（例如，從 Jenkins 外掛程式以及從 Static Analyzer 指令行公用程式和 IDE 外掛程式登入）。
    - OData
      本節提供透過 ASoC API 使用 Open Data 通訊協定 (OData) 的資訊和提示。
    - 匯出至 CSV
      本節說明如何以 CSV 格式儲存回應資料。
  - Webhook
    Webhook 可以用來接收有關在 AppScan on Cloud 中發生之事件的通知。
  - 外掛程式和整合
- 個人掃描
  個人掃描是評估開發中應用程式相對安全性的一種方式，不會影響整體應用程式掃描資料（例如問題）或相符性。
- 掃描狀態
- 稽核追蹤
  稽核追蹤（組織 > 稽核追蹤）會記錄使用者活動。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

產生 API 金鑰

請使用「金鑰 ID」和「金鑰密碼」來存取 AppScan on Cloud REST API，並從某些 ASoC 用戶端工具登入（例如，從 Jenkins 外掛程式以及從 Static Analyzer 指令行公用程式和 IDE 外掛程式登入）。

執行這項作業的原因和時機

每一位使用者的「金鑰 ID」都是獨一無二的。如果您沒有「金鑰 ID」或是遺失「金鑰密碼」，可以產生新的組合。若要產生新的金鑰，請執行下列其中一項：

程序

移至 AppScan on Cloud 服務的 API 金鑰頁面：
- 北美資料中心使用者： https://cloud.appscan.com/main/apikey
- 西歐資料中心使用者：https://cloud.appscan.com/eu/main/apikey
透過使用者介面產生金鑰：
1. 選取工具 ( ) > API。
2. 按一下「產生」，並註記「金鑰 ID」和「金鑰密碼」作為記錄。
  
  註：從這個頁面導覽離開之後，就無法擷取「金鑰密碼」。每次您按一下「產生」時，都會建立新的「金鑰 ID」和「金鑰密碼」。系統將會刪除先前的「金鑰 ID」並以新的 ID 取代。

下一步

在 Swagger 中，於 /api/v4/Account/ApiKeyLogin REST API 中使用產生的「金鑰 ID」和「金鑰密碼」產生新的 Bearer 記號。然後就可以在 Swagger 介面中的存取記號欄位中使用產生的記號。