主页
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
步驟 5：測量進度並展示相符性
進一步瞭解如何測量進度及展示相符性。
展示相符性
進一步瞭解如何示範相符性。
業界標準報告
進一步瞭解業界標準報告。
OWASP 2019 年前 10 大 API 安全性報告
API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者（以及專案經理、安全性研究人員和教育人員）深入瞭解與 API 相關的最嚴重弱點，以及目前的安全性弱點。

歡迎使用
歡迎使用 HCL AppScan Enterprise 10.4.0 說明文件，您可以在其中找到如何安裝、維護及使用 HCL AppScan Enterprise 的相關資訊。
AppScan® Enterprise 的協助工具特性
協助工具特性可協助有殘障 (例如，行動受限或視力受限) 的使用者順利地使用資訊技術產品。
產品概觀
正在安裝
學習如何安裝產品。
升級與移轉
學習如何升級產品。
整合
學習如何將產品與其他解決方案整合在一起。
DevOps
瞭解如何使用 REST API 和外掛程式來延伸產品。
最佳作法
學習最佳實務，以瞭解如何使用產品。
配置
學習如何配置產品。
管理
學習如何管理產品。
管理應用程式風險
請追蹤這個工作流程來管理您組織內的應用程式安全風險。
- 步驟 1：建立應用程式庫存
  進一步瞭解如何建立應用程式庫存。
- 步驟 2：測試應用程式的漏洞
  進一步瞭解如何對應用程式中識別的漏洞進行測試。
- 步驟 3：判定風險及設定漏洞優先順序
  進一步瞭解如何對應用程式中識別的漏洞判斷風險及設定優先順序。
- 步驟 4：修補風險
  進一步瞭解如何對應用程式中識別的風險進行補救。
- 步驟 5：測量進度並展示相符性
  進一步瞭解如何測量進度及展示相符性。
  - 測量進度
    進一步瞭解如何追蹤您組合包含的應用程式的各種度量值和趨勢。
  - 展示相符性
    進一步瞭解如何示範相符性。
    - 將問題匯出成報告
      您可以針對問題產生自訂報告（HTML、PDF、Excel 或 XML），並將其發送給開發人員、內部稽核員、滲透測試人員、經理和 CISO。AppScan Enterprise 中的報告範本會將應用程式安全資料對映到主要政府法規與業界標準。使用報告記錄實現監管合規性目標的進展情況，例如顯示與合規性問題相關的應用程式漏洞數量的減少。
    - 限制安全報告的大小
      安全報告可能會很大。在產生報告期間，您可能會收到檔案長度有數百頁的警告訊息，或是建立報告程序可能逾時。請嘗試下列要訣來減少報告大小。
    - 相符性報告
      進一步瞭解「相符性」報告。
    - 業界標準報告
      進一步瞭解業界標準報告。
      - 國際標準 ISO 27001 報告
        這份報告顯示違反這個標準控制目標的現有 Web 應用程式漏洞。這個標準列出的控制目標是從 ISO 17799 所列的控制目標直接衍生而來，符合 ISO 17799 的控制目標。
      - 國際標準 ISO 27002 報告
        這份報告顯示違反這個標準控制目標的現有 Web 應用程式漏洞。這個標準列出的控制目標是從 ISO 17799 所列的控制目標直接衍生而來，符合 ISO 17799 的控制目標。
      - NERC 網路安全標準報告
        這份報告顯示在您的網站上找到的「NERC 網路安全標準」問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - 「NIST 特刊 800-53 修訂 5」報告
        此報告顯示在您的應用程式中發現的美國國家標準與技術研究院 (NIST) 問題。許多 Web 應用程式漏洞都可能直接或間接導致侵害個人資訊安全，並可能會被視為違反法規。
      - OWASP 2121 年前 10 大報告
        OWASP Top 10 是開發人員和 Web 應用程式安全性的標準意識文件。它代表對於 Web 應用程式最重大安全性風險的廣泛共識。
      - OWASP 2019 年前 10 大 API 安全性報告
        API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者（以及專案經理、安全性研究人員和教育人員）深入瞭解與 API 相關的最嚴重弱點，以及目前的安全性弱點。
      - 「CWE Top 25 最危險的軟體弱點」報告
        這份報告會顯示在您的網站上找到的「常見弱點列舉 (CWE™) 前 25 大最危險的軟體弱點」。CWE Top 25 是一項寶貴的社群資源，可協助開發人員、測試人員和使用者（以及專案經理、安全性研究人員和教育人員）深入瞭解最嚴重和目前的安全性弱點。
      - 「WASC 威脅分類 2.0 版」報告
        這份報告顯示在您網站上找到的 WASC 威脅分類問題。
疑難排解和支援
為了協助您瞭解、隔離及解析您的 HCL® 軟體的問題，疑難排解和支援資訊包含您的 HCL 產品所提供之問題判斷資源的使用指示。
參照
檢閱產品的參照資訊。
名詞解釋

OWASP 2019 年前 10 大 API 安全性報告

API（或稱應用程式介面）對於各個產業中的企業而言都是重要工具。由於在許多領域中越來越常使用 API，且 API 對於新型行動裝置、SaaS 和 Web 應用程式而言非常重要，因此必須發佈 API 安全性的重要性，以及相較於 Web 應用程式的特殊漏洞。OWASP 前 10 大 API 安全性報告可協助開發人員、測試人員和使用者（以及專案經理、安全性研究人員和教育人員）深入瞭解與 API 相關的最嚴重弱點，以及目前的安全性弱點。

重要性

API 的威脅趨勢會持續變更。API 會舖露應用程式邏輯和機密資料，例如個人識別資訊 (PII)，因而成為了攻擊者的目標。這些因素會讓 API 更難以分析，而且會大幅變更威脅趨勢。為了跟上腳步，OWASP 組織在 2019 年 12 月 31 日發行了 OWASP 前 10 大 API 安全性報告，著重於透過策略和解決方案，來瞭解及降低 API 的唯一漏洞和安全性風險。

OWASP 前 10 大 API 安全性漏洞

ID	名稱
API1	中斷的物件層次授權
API2	中斷的使用者鑑別
API3	過多的資料曝光
API4	缺少資源和速率限制
API5	中斷的物件層次授權
API6	大量指派
API7	不當安全配置
API8	Injection
API9	不當的資產管理
API10	記載和監視不足