Home
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
步骤 5：度量进度并获得合规性证明
了解如何度量进度和获得合规性证明。
获得合规性证明
如何获得合规性证明。
行业标准报告
了解行业标准报告。
2023 年 OWASP API 安全 10 强报告
对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。

欢迎
欢迎使用 HCL AppScan Enterprise 10.5.0 文档，您可以在本文档中找到有关如何安装、维护和使用 HCL AppScan Enterprise 的信息。
AppScan® Enterprise 的辅助功能选项
辅助功能选项可帮助残障人士（例如行动不便或视力不佳）顺利使用信息技术内容。
产品概述
正在安装
了解如何安装该产品。
升级和迁移
了解如何对产品进行升级。
集成
了解如何将产品与其他解决方案集成。
DevOps
了解如何通过 REST API 和插件扩展产品。
最佳实践
了解使用产品的最佳做法。
配置
了解如何配置该产品。
管理
了解如何管理该产品。
管理应用程序风险
遵循以下工作流程来管理组织中的应用程序严重性风险。
- 步骤 1：创建应用程序清单
  了解如何创建应用程序清单。
- 步骤 2：测试应用程序以查找漏洞
  了解如何在应用程序中测试识别的漏洞。
- 步骤 3：确定风险和划分漏洞优先级
  了解如何确定风险，以及对在应用程序中识别的漏洞划分优先级。
- 步骤 4：补救任务
  了解如何修复在应用程序中识别的漏洞。
- 步骤 5：度量进度并获得合规性证明
  了解如何度量进度和获得合规性证明。
  - 度量进度
    了解如何跟踪组成产品服务组合的应用程序的各种度量值和趋势。
  - 获得合规性证明
    如何获得合规性证明。
    - 以报告的形式导出问题
      您可以针对问题生成自定义报告（HTML、PDF、Excel 或 XML），并将其发送给开发人员、内部审计员、渗透测试人员、经理和 CISO。AppScan Enterprise 的报告模板可将应用程序安全性数据映射到关键政府法规和行业标准。使用报告记录实现监管合规性目标的进展情况，例如显示与合规性问题相关的应用程序漏洞数量的减少。
    - 限制安全报告的大小
      安全报告可能很大。报告生成期间，可能接收到文件有数百页长或者报告创建过程可能超时的警告消息。请尝试以下提示来减小报告大小。
    - 一致性报告
      了解合规性报告。
    - 行业标准报告
      了解行业标准报告。
      - “国际标准 ISO 27001”报告
        此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。
      - “国际标准 ISO 27002”报告
        此报告显示违反该标准控制目标的现有 Web 应用程序漏洞。该标准中所列的控制目标直接源于 ISO 17799 中所列的控制目标并与其一致。
      - “NERC 网络安全标准”报告
        此报告显示在您站点上发现的 NERC 网络安全标准问题。许多 Web 应用程序漏洞可能会直接或间接导致个人信息安全违规，并且可能会被视为违反法律规定。
      - NIST 专刊 800-53 修订版 5 报告
        此报告显示在您的应用程序中发现的美国国家标准技术学会 (NIST) 问题。许多网络应用程序漏洞可能直接或间接导致个人信息安全漏洞，并可能被视为违反法规。
      - OWASP Top 10 2021 报告
        OWASP Top 10 是面向开发者和 Web 应用程序安全性的标准认知文档。它代表了对 Web 应用程序的最关键安全风险的广泛共识。
      - OWASP API Security Top 10 2019 报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - 2023 年 OWASP API 安全 10 强报告
        对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。
      - CWE 2023 年 25 个最危险软件弱点报告
        此报告显示的是可在您的站点上找到的常见弱点枚举 (CWE™) 最危险的 25 个软件弱点。CWE Top 25 报告是一项宝贵的社区资源，可帮助开发者、测试人员和用户（以及项目经理、安全团队和团队）洞察当前最严重的安全漏洞。
      - WASC 威胁分类 V2.0 报告
        该报告会显示站点上找到的 WASC 威胁分类问题。
故障诊断和技术支持
为了帮助您理解、隔离并解决有关 HCL® 软件的问题，故障诊断和技术支持信息中包含了关于使用 HCL 产品随带的问题确定资源的指示信息。
参考
查看该产品的参考信息。
词汇表

2023 年 OWASP API 安全 10 强报告

对各个行业的企业而言，API（应用程序编程接口）都是重要的工具。由于 API 在许多领域的使用日渐增多，而且 API 是现代移动、SaaS 和 Web 应用程序的关键组成部分，因此不可避免地显露出 API 安全性及其相对于 Web 应用程序的独有漏洞的重要性。OWASP API Security Top 10 报告可帮助开发者、测试人员和用户（以及项目经理、安全研究人员和培训人员）洞察当前最严重的 API 相关安全漏洞。

它为什么重要

API 的威胁格局在不断发生变化。API 会暴露应用程序逻辑和个人可识别信息 (PII) 等敏感数据，因此成为攻击者的目标。这些因素使得 API 更加难以分析，并会明显改变威胁格局。为了跟上步伐，OWASP 组织提出了 OWASP API 安全十大报告，重点关注了解和减轻 API 的独特漏洞和安全风险的策略和解决方案。

OWASP API Security Top 10 漏洞

ID	名称
API1	失效的对象级别授权
API2	身份验证被破坏
API3	损坏的对象属性级别授权
API4	资源消耗不受限制
API5	失效的功能级别授权
API6	无限制访问敏感业务流程
API7	服务器端请求伪造
API8	安全性错误配置
API9	库存管理不当
API10	API 的不安全使用