主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 2：測試應用程式的漏洞
進一步瞭解如何對應用程式中識別的漏洞進行測試。
用於建立掃描的實務
這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
開發者
開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
從範本建立掃描
根據安全團隊用來建立掃描範本的方法，您可以使用 AppScan Dynamic Analysis Client 或 AppScan Enterprise 使用者介面來建立自己的掃描。這些主題說明您可能需要的每一項作業。
使用 GraphQL 範本建立掃描
在 AppScan Enterprise 10.1.0 版中，引進了 GraphQL 範本來掃描包含 GraphQL 查詢的 API。在此範本的初始版本中，功能僅限於具有 GraphQL 查詢的 API，而非 Web 應用程式。
透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API
透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API，藉此建立 GraphQL 掃描。

管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
  - 從內部或第三方掃描器匯入問題
    進一步瞭解如何從內部或第三方掃描器匯入問題。
  - 用於建立掃描的實務
    這些實務已設定目標為開發人員和安全團隊。請選擇最符合您狀況的使用者角色。
    - 9.0.2 版和更新版本與舊版之間掃描配置差異的概觀
      安全團隊（其成員具有管理者專用權）使用他們依 AppScan Standard 編寫的掃描配置來建立範本。然後掃描範本檔便可用於 AppScan Enterprise。開發人員（具有 QuickScan 使用者專用權）在建立掃描時挑選範本，並使用新的 AppScan Dynamic Analysis Client 中的精靈來完成掃描的建立。當他們需要修正掃描配置時會使用相同的 Client。
    - 開發者
      開發人員團隊在 AppScan 中使用不同的方法和使用者介面來建立掃描範本。
      - 從範本建立掃描
        根據安全團隊用來建立掃描範本的方法，您可以使用 AppScan Dynamic Analysis Client 或 AppScan Enterprise 使用者介面來建立自己的掃描。這些主題說明您可能需要的每一項作業。
        掃描範本的類型
        這些是 AppScan Enterprise 中可使用的掃描範本。安全團隊也可以建立您組織特有的範本。
        使用 AppScan Standard 掃描內容來根據範本建立掃描
        建立掃描時使用的範本是根據 AppScan Standard 中的掃描配置選項。一個容易使用的精靈 (AppScan Dynamic Analysis Client) 會引導您完成掃描配置選項，包括動作型登入和手動探索特性。
        使用 AppScan Enterprise 掃描內容來根據範本建立掃描
        QuickScan 會利用「管理者」建立的掃描範本中設定的參數來搜索您的網站，以探索網站內容。掃描收集好資料之後，資料是儲存在資料庫中，供報告引擎進行分析，您可以透過報告套件（報告集合）來取得這些資料。您的大部分資料分析作業，焦點都在這些報告所提供的資料上。
        使用 GraphQL 範本建立掃描
        在 AppScan Enterprise 10.1.0 版中，引進了 GraphQL 範本來掃描包含 GraphQL 查詢的 API。在此範本的初始版本中，功能僅限於具有 GraphQL 查詢的 API，而非 Web 應用程式。
        如何取得 GraphQL 範本
        GraphQL 範本會用來掃描包含 GraphQL 查詢的 API。在這個主題中，您可以瞭解如何取得 GraphQL 範本。
        使用 AppScan Enterprise Postman REST API 來新增 API
        使用 AppScan Enterprise Postman REST API 來新增 API，藉此建立 GraphQL 掃描
        透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API
        透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API，藉此建立 GraphQL 掃描。
        透過使用 Postman 或 SoapUI 的 ADAC 用戶端來記錄 API
        透過使用 Postman 或 SoapUI 的 ADAC 用戶端來記錄 API，藉此建立 GraphQL 掃描。
        使用 AppScan Connect 透過 AppScan Standard 建立掃描
        您可以使用 AppScan Standard 將 Postman 集合匯入掃描工作中，然後在 AppScan Enterprise 中抄寫此工作。
      - 編輯掃描
        您可以編輯基本掃描來修改配置選項。如果您在編輯掃描時需要協助，或您需要新增更多設定給它，請要求安全團隊協助您。他們可以從 AppScan Dynamic Analysis Client 的進階視圖編輯掃描。
      - 建立匯入掃描
        匯入 QuickScan 會使用「產品管理員」所建立的掃描範本中設定的參數來上傳 AppScan® 檔。檔案上傳之後，它的資料是儲存在資料庫中，供報告引擎進行分析，您可以透過報告套件（亦即，報告的集合）來取得這些資料。
    - 安全團隊
      使用以 AppScan 標準編寫的掃描配置，安全團隊可以建立範本。
    - 從 AppScan® Standard 的 AppScan® Dynamic Analysis Client 中轉換掃描配置
      如果您現有的內容掃描是根據 AppScan® Standard 中的掃描範本 (*.scant)，則您可以轉換掃描配置，使您能夠直接在 AppScan Dynamic Analysis Client 中編輯它。不過，在轉換掃描配置之後，就不能在 AppScan Standard 中重新開啟它。
  - 執行及排程工作
    進一步瞭解如何在 AppScan Enterprise 中執行及排程工作。
  - 在兩個 Enterprise Console 之間複製掃描
    匯出掃描內容，並根據這些內容建立新的掃描。這是用來在兩個 Enterprise Console 實例之間複製掃描的方法。
  - 停止工作再將它回復
    您可以利用三個方法來停止執行中的工作。每個方法各有不同的使用原因，這相當取決於您是否要保留資料，或是否要從離開的點來繼續執行工作。您可以回復暫停的工作，從它停止之處繼續掃描。在任何可用伺服器上的下一個可用代理程式，會處理回復的工作。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。

透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API

透過使用外部工具和 Proxy 埠的 ADAC 用戶端來記錄 API，藉此建立 GraphQL 掃描。

程序

在「AppScan Enterprise 掃描」頁面上，按一下建立資料夾項目。
選取使用範本的工作圓鈕，然後在下拉清單中選取 GraphQL 範本選項。
按一下建立按鈕。瀏覽器會啟動 AppScan Dynamic Analysis Client (ADAC)。
導覽至手動探索區段，按一下新增、選取外部用戶端，然後選取其他。
配置外部工具，以針對記錄流量視窗上所顯示的本機用戶端，使用 Proxy 埠及 IP。
配置好之後，請在外部工具中執行集合。
執行集合之後，請在記錄流量視窗中，按一下停止錄製按鈕，然後按一下儲存。
在 ADAC 視窗中，針對要納入掃描的網域，選取偵測到的網域之下的勾選框。
導覽至工作內容、選取想要的「測試原則」，然後按一下建立工作。
執行掃描。