主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 2：測試應用程式的漏洞
進一步瞭解如何對應用程式中識別的漏洞進行測試。
用於建立掃描的實務
這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
開發者
開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
從範本建立掃描
根據安全團隊用來建立掃描範本的方法，您可以使用 AppScan Dynamic Analysis Client 或 AppScan Enterprise 使用者介面來建立自己的掃描。這些主題說明您可能需要的每一項作業。
使用 GraphQL 範本建立掃描
在 AppScan Enterprise 10.1.0 版中，引進了 GraphQL 範本來掃描包含 GraphQL 查詢的 API。在此範本的初始版本中，功能僅限於具有 GraphQL 查詢的 API，而非 Web 應用程式。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
  - 從內部或第三方掃描器匯入問題
    進一步瞭解如何從內部或第三方掃描器匯入問題。
  - 用於建立掃描的實務
    這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
    - 9.0.2 版和更新版本與舊版之間掃描配置差異的概觀
      安全團隊（其成員具有管理者專用權）使用他們依 AppScan Standard 編寫的掃描配置來建立範本。然後掃描範本檔便可用於 AppScan Enterprise。開發人員（具有 QuickScan 使用者專用權）在建立掃描時挑選範本，並使用新的 AppScan Dynamic Analysis Client 中的精靈來完成掃描的建立。當他們需要修正掃描配置時會使用相同的 Client。
    - 開發者
      開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
      - 從範本建立掃描
        根據安全團隊用來建立掃描範本的方法，您可以使用 AppScan Dynamic Analysis Client 或 AppScan Enterprise 使用者介面來建立自己的掃描。這些主題說明您可能需要的每一項作業。
        掃描範本的類型
        這些是 AppScan Enterprise 中可使用的掃描範本。安全團隊也可以建立您組織特有的範本。
        使用 AppScan Standard 掃描內容來根據範本建立掃描
        建立掃描時使用的範本是根據 AppScan Standard 中的掃描配置選項。一個容易使用的精靈 (AppScan Dynamic Analysis Client) 會引導您完成掃描配置選項，包括動作型登入和手動探索特性。
        使用 AppScan Enterprise 掃描內容來根據範本建立掃描
        QuickScan 會利用「管理者」建立的掃描範本中設定的參數來搜索您的網站，以探索網站內容。掃描收集好資料之後，資料是儲存在資料庫中，供報告引擎進行分析，您可以透過報告套件（報告集合）來取得這些資料。您的大部分資料分析作業，焦點都在這些報告所提供的資料上。
        使用 GraphQL 範本建立掃描
        在 AppScan Enterprise 10.1.0 版中，引進了 GraphQL 範本來掃描包含 GraphQL 查詢的 API。在此範本的初始版本中，功能僅限於具有 GraphQL 查詢的 API，而非 Web 應用程式。
        如何取得 GraphQL 範本
        GraphQL 範本會用來掃描包含 GraphQL 查詢的 API。在這個主題中，您可以瞭解如何取得 GraphQL 範本。
        使用 AppScan Enterprise Postman REST API 來新增 API
        使用 AppScan Enterprise Postman REST API 來新增 API，藉此建立 GraphQL 掃描
        透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API
        透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API，藉此建立 GraphQL 掃描。
        透過使用 Postman 或 SoapUI 的 ADAC 用戶端來記錄 API
        透過使用 Postman 或 SoapUI 的 ADAC 用戶端來記錄 API，藉此建立 GraphQL 掃描。
        使用 AppScan Connect 透過 AppScan Standard 建立掃描
        您可以使用 AppScan Standard 將 Postman 集合匯入掃描工作中，然後在 AppScan Enterprise 中抄寫此工作。
      - 編輯掃描
        您可以編輯基本掃描來修改配置選項。如果您在編輯掃描時需要協助，或您需要新增更多設定給它，請要求安全團隊協助您。他們可以從 AppScan Dynamic Analysis Client 的進階視圖編輯掃描。
      - 建立匯入掃描
        匯入 QuickScan 會使用「產品管理員」所建立的掃描範本中設定的參數來上傳 AppScan® 檔。檔案上傳之後，它的資料是儲存在資料庫中，供報告引擎進行分析，您可以透過報告套件（亦即，報告的集合）來取得這些資料。
    - 安全團隊
      使用以 AppScan 標準編寫的掃描配置，安全團隊可以建立範本。
    - 從 AppScan® Standard 的 AppScan® Dynamic Analysis Client 中轉換掃描配置
      如果您現有的內容掃描是根據 AppScan® Standard 中的掃描範本 (*.scant)，則您可以轉換掃描配置，使您能夠直接在 AppScan Dynamic Analysis Client 中編輯它。不過，在轉換掃描配置之後，就不能在 AppScan Standard 中重新開啟它。
  - 執行及排程工作
    進一步瞭解如何在 AppScan Enterprise 中執行及排程工作。
  - 在兩個 Enterprise Console 之間複製掃描
    匯出掃描內容，並根據這些內容建立新的掃描。這是用來在兩個 Enterprise Console 實例之間複製掃描的方法。
  - 停止工作再將它回復
    您可以利用三個方法來停止執行中的工作。每個方法各有不同的使用原因，這相當取決於您是否要保留資料，或是否要從離開的點來繼續執行工作。您可以回復暫停的工作，從它停止之處繼續掃描。在任何可用伺服器上的下一個可用代理程式，會處理回復的工作。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。

使用 GraphQL 範本建立掃描

在 AppScan Enterprise 10.1.0 版中，引進了 GraphQL 範本來掃描包含 GraphQL 查詢的 API。在此範本的初始版本中，功能僅限於具有 GraphQL 查詢的 API，而非 Web 應用程式。

執行這項作業的原因和時機

這項作業會說明如何取得 GraphQL 範本，以及在 AppScan Enterprise 中建立 GraphQL 掃描的各種方式。

程序

若要取得 GraphQL 範本，請參閱如何取得 GraphQL 範本。
您可以利用下列方式來建立 GraphQL 掃描：