主页
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
修復
判定風險並設定漏洞優先順序之後，您的安全團隊便可展開補救程序。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
- 範例安全報告
- 應用程式報告
- 掃描資料
- 問題
  應用程式的「問題」頁面會顯示找到的所有問題。您可以套用各種過濾器來查看您需要的問題，並按一下任何問題來開啟詳細的問題資訊窗格。
- 關聯性
  AppScan 會分析 IAST、DAST 和 SAST 找到的問題，以識別程式碼（或相關性）的一般弱點連結，這些漏洞可透過單一或合併的補救程序解決。
- 修正程式群組
  「修正程式群組」目前僅套用至在「靜態分析掃描」中發現的問題。
- 報告
  產生在應用程式中發現之問題的報告。傳送報告給開發人員、內部審核員、滲透測試人員、經理及 CISO。安全資訊可能很廣泛，您可根據需求進行過濾。
- 修復
  判定風險並設定漏洞優先順序之後，您的安全團隊便可展開補救程序。
- 重新掃描
  在您的第一次掃描之後，當修正問題時，可以多次重新掃描相同的應用程式並改寫先前的結果；儀表板一律顯示目前的結果。當您重新掃描（不是起始新掃描）時，重新掃描會改寫前一個掃描。
- IAST 掃描結果
  互動式 (IAST) 掃描項目顯示自上次啟動掃描以來的結果。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

修復

判定風險並設定漏洞優先順序之後，您的安全團隊便可展開補救程序。

基本補救工作流程：

安全主管設定補救的優先順序，並指派補救作業給開發團隊。如果被利用的可能性很小，安全主管可以決定承擔某種程度的風險，而不指派某些漏洞進行補救。在某些情況下，監視設定期間的狀況可能是最佳行動方針。
開發人員修正最高優先順序的漏洞。
QA 工程師對新版本的應用程式執行適當的測試，確認補救成功，並將資料轉送給安全主管。

除了修正問題之外，安全主管還可以採取其他行動：

訓練開發人員安全撰寫程式碼的技術。
提供處理問題的程式碼庫。
建立測試計劃和 Script，以在開發生命週期早期偵測到問題。
在應用程式規格中，建立安全撰寫程式碼的最佳實務。