歡迎使用
歡迎使用 HCL AppScan on Cloud 的說明文件。
入門
安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊,例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
最近的更新項目
探索即將推出和最近新增的功能。
系統需求
這個主題為 ASoC 分析人員,提供系統需求、支援的作業系統和語言的相關連結,並瞭解服務所支援的瀏覽器和最低解析度。
訂閱
「我的訂閱」顯示貴組織所有訂閱的狀態,包含剩餘的應用程式或掃描數目,以及開始和結束日期。
工作流程
本節概述具有有效訂閱之授權使用者的典型 ASoC 工作流程。
範例應用程式與 Script
使用範例應用程式練習搭配 ASoC 一起掃描。
示範影片
這些「使用方法」影片示範如何使用 ASoC,以及它如何融入您的工作流程,並且提供提示和技巧。
聯絡和支援
一些實用的連結。
憑證
ISO/IEC 憑證。
服務說明
服務說明說明 HCL AppScan on Cloud 服務。
試用版使用條款
HCL APPSCAN ON CLOUD 服務的試用版合約
本節說明主 ASoC 功能表列上的項目,以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則及配置 DevOps 整合。
使用者
使用者管理有助您限制對機密應用程式的存取權, 作法是將它們指派給資產群組,然後新增特定使用者至那些群組。
應用程式
應用程式是與相同專案相關的掃描集合。它可以是網站、桌面應用程式、行動式應用程式、Web 服務或應用程式的任何元件。應用程式可讓您評估風險、識別趨勢,並確定您的專案符合產業和組織原則。
原則
您可以套用預先定義的原則以及您自己的自訂原則,以只顯示與您相關問題的資料。
DevOps
將 ASoC 納入您的 SDLC 的工具。
個人掃描
個人掃描是評估開發中應用程式相對安全性的一種方式,不會影響整體應用程式掃描資料或相符性。
審核追蹤
審核追蹤(組織 > 審核追蹤)會記錄使用者活動。
DAST
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境,則會借助「專用網站掃描」技術的輔助,掃描無法透過開放網際網路存取的應用程式。
動態 (DAST) 掃描
ASoC 可以對執行於瀏覽器或 Web API 中的應用程式執行動態分析。使用 ASoC 中的配置選項,或上傳 AppScan Standard 配置(範本檔案)或完整掃描檔。
AppScan Presence
伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站,以及在功能測試的程序中納入掃描。
AppScan 資料流量記錄器
「AppScan 資料流量記錄器」(DAST Proxy) 可讓您記錄資料流量,以當作「探索」資料使用。您可以依需求建立資料流量記錄器實例,以記錄稍後將用於 DAST 掃描的資料流量。
私有網站
伺服器上的 AppScan Presence 可讓您掃描無法從網際網路存取的網站。
IAST
使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。
互動式 (IAST) 監視
ASoC 可以監視一般應用程式執行時期行為,以便偵測漏洞。
啟動 IAST 階段作業
在應用程式伺服器上安裝 IAST 代理程式,然後配置掃描。
部署 IAST 代理程式
您需要在應用程式伺服器上部署 IAST 代理程式,以便該代理程式可以監視與應用程式的通訊並向 ASoC 報告。
Deploy on Azure
Use the IAST agent to monitor applications that run on Azure App Service.
使用 REST API 的 IAST
您可以透過 REST API 配置並啟動 IAST 掃描,包括代理程式部署。
IAST 配置檔
您可以配置 JSON 檔案來覆寫預設 IAST 設定,並且只報告您想要知道的漏洞。
使用者設定
部分低階 IAST 行為可用使用者參數來控制。
靜態分析
使用靜態分析 (SAST) 來掃描應用程式是否有安全漏洞。如果要完成這個作業,請使用 AppScan Go! 或下載小型用戶端公用程式,並且使用其指令行介面 (CLI) 對所有支援語言的原始碼或二進位檔執行安全分析。Eclipse 和 Visual Studio 的靜態分析外掛程式可以透過各自的市集取得。安裝外掛程式之後,您可以在 Eclipse 中掃描 Java 專案,或是在 Visual Studio 中掃描 .NET(C#、ASP.NET、VB.NET)專案。此處列出有關外掛程式與整合的其他資訊。
靜態分析的系統需求
本節說明支援的作業系統,以及當您執行靜態分析時,ASoC 可掃描的檔案類型、位置和專案。
掃描是否有安全漏洞
如果要掃描原始碼是否有安全漏洞,請遵循這些主題中的步驟。
範例應用程式與 Script
使用範例應用程式練習搭配 ASoC 一起掃描。
靜態分析的疑難排解
如果您遇到靜態分析方面的問題,可以執行這些疑難排解工作,以判斷要採取的更正動作。
結果
應用程式的「掃描歷程記錄」標籤會顯示掃描結果(包括掃描統計資料)及重新掃描選項。
問題
應用程式的「問題」頁面會顯示找到的所有問題。您可以套用各種過濾器來查看您需要的問題,並按一下任何問題來開啟詳細的問題資訊窗格。
自動問題相關性
AppScan 會分析 IAST、DAST 和 SAST 找到的問題,以識別程式碼(或「相關性」)的一般弱點連結,這些漏洞可透過單一或合併的補救程序解決。
修正群組
「修正程式群組」目前僅套用至在「靜態分析」中發現的問題。
報告
您可以針對在應用程式中所發現的問題產生報告,以傳送給開發人員、內部審核員、滲透測試人員、經理及 CISO。安全資訊可能很廣泛,您可根據需求進行過濾。
分類問題
依預設,所有問題都會分類為新的。您可以檢視問題狀態來查看問題分類。
問題狀態
問題可以分類為 Open、In Progress、Noise、Reopened、Passed、和Fixed。
問題嚴重性
可以將問題分類為出現在應用程式的問題網格中。
補救
判定風險並設定漏洞優先順序之後,您的安全團隊便可展開補救程序。
重新掃描
在您的第一次掃描之後,如果修正了問題,可以多次重新掃描相同的應用程式並改寫先前的結果,使儀表板一律顯示目前的結果。當您重新掃描(不是起始新掃描)時,新的掃描會改寫前一個掃描。
IAST 掃描結果
互動式 (IAST) 掃描項目顯示自上次啟動掃描以來的結果。
疑難排解
如果您遇到此服務方面的問題,可以執行這些疑難排解工作來判定要採取的更正動作。
AppScan Presence
本節會針對使用 AppScan Presence 時發現的錯誤,提供疑難排解作業的建議。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊,以及 ASoC API 說明文件。
FAQ
一些常見的問題。
威脅分類和 CWE
表格顯示由 ASoC 測試之問題的威脅分類,及其相關 CWE 號碼。
瞭解 DAST 掃描
ASoC 動態 (DAST) 掃描由兩個階段組成:「探索」和「測試」。雖然對使用者而言,掃描程序大部分都是以緊密方式進行,在掃描完成之前,都不需要使用者輸入,但瞭解其背後的原則會很有用。「探索」階段可以自動作為自動掃描的一部分執行,或由使用者手動執行,或兩者結合使用。
瞭解專用網站掃描
ASoC 提供來自雲端型掃描器(例如 SaaS)的動態應用程式安全測試 (DAST)。這個功能需要雲端型掃描器能夠存取受測的應用程式。公用的 Web 型應用程式可以掃描,沒有問題。但是,專用網站掃描 (PSS) 只有在新增網路元件(例如 VPN 或 Proxy),或將網路變更為允許掃描器存取 Web 應用程式的主機伺服器之後才可行。
CSV 格式
本節說明如何以 CSV 格式儲存回應資料。