跳转到主要内容
歡迎使用
歡迎使用 HCL AppScan Enterprise 10.1.0 說明文件,您可以在其中找到如何安裝、維護及使用 HCL AppScan Enterprise 的相關資訊。
AppScan® Enterprise 的協助工具特性
協助工具特性可協助有殘障 (例如,行動受限或視力受限) 的使用者順利地使用資訊技術產品。
瞭解產品的一般資訊。
應用程式安全管理
安全性關乎保護您的珍貴資產。貴組織擁有的一部份重要資產乃是資訊,例如智慧財產、策略計劃和客戶資料。保護此資訊對您的組織能否持續經營、保持競爭力及符合法規需求至關重要。
AppScan® Enterprise 元件
HCL® AppScan® Enterprise 可讓組織降低應用程式安全風險、強化應用程式安全方案管理提議,並符合法規。安全和開發團隊可以在整個應用程式生命週期中分工合作、建立原則及調整測試範圍。企業儀表板會根據業務影響來分類應用程式資產及設定優先順序,並識別高風險區域,讓您的補救努力達到最大成效。所提供的效能測量值可協助您監視應用程式安全方案的進度。
AppScan Enterprise 隨附的 AppScan Standard 元件
下表追蹤 AppScan Enterprise 隨附之 AppScan Standard 元件的產品版本。
開始使用應用程式安全管理
根據您的角色,您可以開始使用產品的不同領域。
HCL AppScan® Enterprise 的新功能
AppScan Enterprise 中的互動式應用程式安全測試 (IAST)
支援的技術
已知問題與暫行解決方法
以下是已知問題和其暫行解決方法。
已淘汰的特性
如果您是從舊版 AppScan® Enterprise 移轉,請注意本版次中已淘汰的各種特性。
AppScan Enterprise 法律注意事項
妥善安全作法聲明
學習如何安裝產品。
規劃部署和安裝
您使用的配置會隨著許多因素而不同:您打算用軟體做什麼、組織和網站或應用程式的結構方式,以及資訊的散布方式。安裝現行版本之前,請檢閱軟硬體需求、授權,以及其他部署考量等相關資訊。
前置安裝作業
在安裝 AppScan® Enterprise 之前,您需要準備及配置系統。
安裝作業
本小節提供安裝 AppScan® Enterprise 的指示。
後置安裝作業
安裝 AppScan® Enterprise 之後,請完成這些後置安裝作業。
進階安裝實務
學習如何升級產品。
從舊版升級時的產品變更
瞭解從舊版升級時,可能影響掃描或報告資料的變更。請務必閱讀所有主題,以便瞭解升級程序。
修正套件安裝
您可以從 FNO 下載修正套件。
將 Jazz™ Team Server 取代為 WebSphere® Liberty - 常見問題 (FAQ)
從 9.0.1 版開始,AppScan® Enterprise 包含一項架構重新設計,可減少安裝覆蓋區,以及移除作為使用者鑑別元件的 Rational® Jazz™ Team Server (Jazz Team Server)。
在 AppScan Enterprise 中將 Jazz Team Server 使用者移轉至 Liberty
如果要移轉 Jazz Team 使用者,以使用 Liberty 鑑別方法,在開始升級到 9.0.1 版和以上版本之前,請使用指令匯出使用者的 .csv 檔案。然後,您可以遵循下列兩種方法之一,在 Liberty 中登錄相同的使用者,讓他們夠存取 AppScan Enterprise 9.0.1 版和以上版本。
升級至 AppScan Enterprise 最新版本
如果要順利升級至 AppScan Enterprise 最新版本,請仔細閱讀這個主題。
配置 AppScan® Enterprise 的 SQL Server 資料庫
AppScan® Enterprise Server 配置需要 SQL Server 的相關資訊。請先配置 SQL Server,以便在 AppScan 配置期間節省時間。如果您升級 SQL Server 到新版本,也請遵循這些指示。
為 Liberty 設定檔配置基本使用者登錄
以 Liberty 使用憑證儲存庫中的憑證
這項程序說明如何使用 Liberty 憑證來保護 IIS。
升級 AppScan® Source 與 Oracle 資料庫之間的 LDAP 連線
如果您變更 LDAP 設定(例如伺服器名稱或別名),或將 AppScan® Enterprise Server 移至另一部電腦,您必須更新 asc.properties 檔案來反映那些變更。
在 WebSphere Liberty Profile 上啟用 FIPS 140-2 或 NIST SP800-131a
使用下列其中一個程序,在 WebSphere Liberty Profile 上啟用 FIPS 140-2 或 NIST SP800-131a。
學習如何將產品與其他解決方案整合在一起。
與 IBM Security Qradar 整合
進一步瞭解如何將產品與 IBM Security Qradar 整合。
與 QA 自動化系統整合
進一步瞭解如何將產品與 QA 自動化系統整合。
與問題報告追蹤系統整合
進一步瞭解如何讓產品與「問題報告追蹤系統」整合。
瞭解如何使用 REST API 和外掛程式來延伸產品。
REST API
進一步瞭解 AppScan Enterprise 中的 REST API。
外掛程式和整合
學習最佳實務,以瞭解如何使用產品。
內容掃描的最佳實務
請判斷內容工作要掃描的應用程式所正在使用的技術,然後參閱下列各類型的最佳實務。
在正式作業環境中執行安全掃描的最佳實務
在正式作業環境中執行安全掃描會有風險;不過,也許是為了符合審核需求,為了偵測網站是否有駭客入侵,或為了驗證是否採用了整合安全掃描的 SDLC 程序,您可能需要掃描正式作業環境。
效能的最佳實務
掃描引擎會進行 1000 種以上不同的測試,且會重複執行它們。
瞭解測試最佳化
常見問題
這個主題處理一般應用程式問題。
學習如何配置產品。
配置您的使用者設定
您可以將若干設定個人化,以配合您的需要。
配置 Enterprise Console
Enterprise Console 是支援管理、項目配置及產生報告的主要使用者介面。
配置日誌保留期間內容
在掃描執行期間所產生的日誌檔會在特定時間範圍儲存到伺服器中。伺服器保留此類日誌檔的時間限制,就稱為日誌保留期間。在這個保留期間之後,這些日誌檔會變成過期,過多地佔據伺服器的記憶體空間。您可以在 AppScan Enterprise 中配置時間限制作為日誌保留期間,在超過這個預設期間之後自動刪除此類日誌。
學習如何管理產品。
管理使用者、群組及存取權限
進一步瞭解如何管理使用者群組和存取許可權。
AppScan Enterprise 中的 SAML 單一登入
配置和下載 Enterprise Console 和 AppScan Server 的日誌檔
管理者可以配置 Enterprise Console 和 AppScan Server 日誌檔的設定,並在需要疑難排解問題時,下載它們。藉由這項功能,就不需要搜尋安裝 Enterprise Console 或 AppScan Server 之電腦的檔案系統。
透過 ASE AdminUtil 工具,在 AppScan Enterprise 中重設服務帳戶密碼
AdminUtil 工具可協助使用者避免在 AppScan Enterprise Server 及「DAST 掃描器」上重新執行配置精靈,以重設密碼。您可以使用兩種模式來執行公用程式:互動模式和無聲自動模式。如需透過互動模式重設服務帳戶密碼的相關資訊,請參閱以無聲自動模式,透過 ASE AdminUtil 工具,在 AppScan Enterprise 中重設服務帳戶密碼
以無聲自動模式,透過 ASE AdminUtil 工具,在 AppScan Enterprise 中重設服務帳戶密碼
AppScan Enterprise (ASE) AdminUtil 工具可協助使用者避免在AppScan Enterprise Server、IAST Communication Service、DAST 掃描器、「資料庫」服務,以及「警示」服務上重新執行配置精靈,以重設服務帳戶的密碼。您可以在兩種模式下執行公用程式來實現此目標 - 互動模式和無聲自動模式。如需透過互動模式重設服務帳戶密碼的相關資訊,請參閱透過 ASE AdminUtil 工具,在 AppScan Enterprise 中重設服務帳戶密碼
監視 AppScan Enterprise 使用情形
請建立「活動日誌」報告來判斷誰在使用 AppScan Enterprise,以及他們用它來做什麼。報告會列出進行變更的使用者以及變更的時間。由於日誌一律會錄製活動,因此,您只需建立報告即可。只有「管理者」可以建立「活動日誌」報告;不過,任何使用者都可以在報告套件的內容中,取得「活動日誌」報告的存取權。如果您不想讓其他使用者看到「活動日誌」報告,請在報告套件的「使用者和群組」頁面上,將「所有其他使用者」改成No Access。
活動日誌
「活動日誌」會協助判斷誰在使用 AppScan Enterprise 以及其用途。活動日誌會列出進行變更的使用者以及變更的時間。這有助於安全審核,以偵測是否有使用者未經授權即執行活動,或是否有異常活動。只有管理者可以檢視活動日誌。依預設,活動日誌資料會保留一年。
管理伺服器
「產品管理者」要負責管理每部伺服器,使其達到最佳效能。
管理掃描佇列
檢視目前執行中或等待執行的掃描工作的狀態,以便排定重要掃描工作的執行順序。例如,您的掃描工作可能必須在期限內完成,例如假日購物優惠。您可以將它們移至佇列頂端,以確保在排程中最優先處理。
更新安全規則
安全規則會更新為 AppScan® Enterprise 版本的一部分。您可以在 AppScan Enterprise 主功能表中查看「關於」鏈結,來驗證安全規則的版本和發行日期。
從 AppScan Standard 匯入使用者定義的測試
AppScan® Standard 提供一個含有數千項測試的資料庫。不過,如果您的 Web 應用程式有專屬的問題,或您想要撰寫自己的諮詢來修正問題,您可以建立自己的測試。會儲存這些測試,並包含在您的 AppScan 測試資料庫中。您也可以將它們匯出成 *.udt 檔,以便匯入至 AppScan Enterprise。
維護您的 SQL Server 資料庫
SQL Server 資料庫維護包括升級 SQL 伺服器、SQL 資料庫備份、日誌檔配置,以及資料庫使用情形。
準備進行安全測試
進一步瞭解如何在 AppScan Enterprise 中準備安全測試。
建立掃描範本
進一步瞭解如何在 AppScan Enterprise 中建立掃描範本。
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 1:建立應用程式庫存
進一步瞭解如何建立應用程式庫存。
步驟 2:測試應用程式的漏洞
進一步瞭解如何對應用程式中識別的漏洞進行測試。
步驟 3:判定風險及設定漏洞優先順序
進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
步驟 4:修補風險
進一步瞭解如何對應用程式中識別的風險進行補救。
步驟 5:測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題,疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
疑難排解問題
疑難排解是一種系統性的問題解決方法。疑難排解的目標是判斷某項目為何無法按照預期運作,並說明如何解決這個問題。
範本:聯絡 HCL® 支援中心
HCL® 「支援中心」提供了關於產品問題報告的協助,回答常見問題,並協助使用者解決產品問題。
動態分析掃描器疑難排解
進一步瞭解針對 Dynamic Analysis Scanner 進行疑難排解。
Enterprise Server 疑難排解
進一步瞭解針對 Enterprise Server 進行疑難排解。
訊息
這些訊息說明內部產品訊息、掃描日誌訊息及 Web 服務訊息的服務功能碼
檢閱產品的參照資訊。
「配置精靈」主題
進一步瞭解配置精靈主題。
「資料夾瀏覽器」主題
進一步瞭解資料夾瀏覽器主題。
利用報告進行分類
執行工作之後會自動產生報告。這些報告提供管理問題的方法,可協助您管理組織的重要問題,並且以 Enterprise Console 的工作流程及組織內其他程序的工作流程都支援的方式來執行這項作業。
配置管理程式
AppScan 資源
包含整合、Helper Script、公用程式、有用的範例、程式庫,以及其他 HCL AppScan 相關資源的 GitHub 集合。