Accueil
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
À propos de l'analyse de la composition du logiciel
L'analyse de la composition du logiciel (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.

Mise en route
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan sur Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- À propos de l'analyse de la composition du logiciel
  L'analyse de la composition du logiciel (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.
  - flux de travaux SCA
    Présentation des étapes d'examen utilisant l'analyse de la composition du logiciel (SCA).
- Configuration système requise pour SCA
  Les types de fichiers qu'ASoC est capable d'examiner lorsque vous réalisez un test Open Source.
- Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
  Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
- Résultats de l'examen SCA
  Fonctions disponibles dans les résultats des examens d'analyse SCA.
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

À propos de l'analyse de la composition du logiciel (SCA)

L'analyse de la composition du logiciel (SCA) localise et analyse les packages Open Source et tiers utilisés par votre code.

SCA, également désigné sous le nom de « test Open Source », regroupe des informations provenant de diverses sources, en surveillant constamment les nouvelles vulnérabilités dans un processus automatisé. La technologie d'analyse de la composition du logiciel (SCA) est utilisée tout au long de la chaîne logistique pour identifier les composants Open Source et tiers utilisés dans l'organisation, ainsi que leurs vulnérabilités de sécurité connues et les limites de leur licence. La SCA peut détecter et extraire des composants tiers, fournir des informations détaillées sur les licences, trouver des vulnérabilités connues et proposer des correctifs exploitables.

Les sources SCA incluent les bases de données de vulnérabilité de sécurité les plus courantes (NVD, Github advisory, Microsoft MSRC), ainsi qu'un large éventail d'avis de sécurité moins connus et de dispositifs de suivi des problèmes de projet open source. La SCA est mis à jour quotidiennement.

SCA nécessite un abonnement à Open Composition Analyzer ASoC spécifique. Lorsque vous disposez d'un abonnement valide, le test Open Source se génère de lui-même ou est automatiquement inclus dans les examens utilisant l'analyse statique, lorsque des autorisations de l'analyse statique existent également. SCA effectue les opérations suivantes :

Il localise des packages Open Source dans votre code. Pour garantir qu'ASoC collecte uniquement les données pour le test Open Source, utilisez appscan prepare_sca (non disponible depuis Eclipse).
Identifie les packages Open Source réputés vulnérables.
Il suggère une résolution pour les packages vulnérables.

Les résultats sont inclus dans les rapports d'analyse statique ou Open Source, ainsi que dans votre portail ASoC.