ホーム
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
コマンド行インターフェース (CLI) を使用した IRX ファイルの生成
ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。
CLI を使用した IRX ファイル生成の構成
IRX ファイルの生成に構成ファイルを使用します。その場合は、個々のターゲットを指定する、つまりターゲットを含めるか除外するかを指定することができます。さらに、構成ファイルを使用して完全な IRX ファイルの生成に役立つ追加情報を指定することもできます。
スキャンを自動化するためのプラグインを含む構成ファイルの使用
プラグインを使用する場合は、appscan-config.xml を使用してスキャンを自動化できます。

はじめに
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、および使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- 静的分析 (SAST) について
- 静的分析のシステム要件
  サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。
- セキュリティーの脆弱性のスキャン
  セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
  - 次でのスキャンの構成: AppScan on Cloud
    静的分析スキャンを構成します。
  - AppScan Go! を使用したスキャンの構成
    AppScan Go! は、静的スキャンを構成して実行するための手順をガイドします。クラウドでスキャンを実行することも、プラグインを使用してスキャンを自動化することもできます。
  - コマンド行インターフェース (CLI) を使用した IRX ファイルの生成
    ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。
    - Static Analyzer コマンド行ユーティリティーのセットアップ
      静的分析を行う場合は、小規模なコマンド行ユーティリティーをダウンロードします。ユーティリティーをローカル・ディスクに解凍すると、コマンド行インターフェース (CLI) を使用してセキュリティー分析を実行できます。
    - CLI を使用した IRX ファイル生成の構成
      IRX ファイルの生成に構成ファイルを使用します。その場合は、個々のターゲットを指定する、つまりターゲットを含めるか除外するかを指定することができます。さらに、構成ファイルを使用して完全な IRX ファイルの生成に役立つ追加情報を指定することもできます。
      - APPSCAN_OPTS でのグローバル・オプションの指定
        スキャンを実行する前に、環境変数 APPSCAN_OPTS を設定して、グローバル・オプションを指定します。AppScan Go!、Static Analyzer コマンド行ユーティリティー、IDE、およびプラグインを使用する場合、スキャン前にグローバル・オプションを指定できます。
      - スキャンを自動化するためのプラグインを含む構成ファイルの使用
        プラグインを使用する場合は、appscan-config.xml を使用してスキャンを自動化できます。
    - CLI コマンド解説 (Windows)
      小規模なクライアント・コマンド行インターフェース (CLI) を使用して静的分析を実行するための Windows 固有のコマンド。CLI は、ローカル・ディスクにダウンロードして解凍して使用します。
    - CLI コマンド解説 (Linux および macOS)
      小規模なクライアント・コマンド行インターフェース (CLI) を使用して静的分析を実行するための Linux 固有のコマンド。CLI は、ローカル・ディスクにダウンロードして解凍して使用します。
  - プラグインまたは IDE を使用した IRX ファイルの生成
  - アーカイブ・ファイルを使用したスキャンの構成
  - ソフトウェア・コンポジション分析について
    ソフトウェア・コンポジション分析 (SCA) は、コードで使用されるオープン・ソース・パッケージおよびサードパーティー・パッケージを検索して分析します。
  - 静的分析の統合
  - 分析のためのクラウドへの HCL AppScan Source 評価の送信
    HCL AppScan on Cloud のサブスクリプションを所有している場合は、分析のために AppScan Source 評価結果をそこに送信できます。AppScan Source バージョン 9.0 以上からの評価がサポートされています。送信できるスキャンの数は、ASoC サブスクリプションによって異なります。
  - Java スキャンのベスト・プラクティス
  - 静的分析スキャンの結果
    静的分析スキャン結果で使用できる機能。
- サンプル・アプリとスクリプト
  以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
- 静的分析のトラブルシューティング
  静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

スキャンを自動化するためのプラグインを含む構成ファイルの使用

プラグインを使用する場合は、appscan-config.xml を使用してスキャンを自動化できます。

以下のプラグインの appscan-config.xml を使用して、スキャンの自動化を構成できます。

Jenkins
アズール
Bamboo
GoCD
GitHub SAST アクション

appscan-config.xml でスキャンの自動化を設定するには、次の手順を実行します。

appscan-config.xml ファイルを作成します。
appscan-config.xml を手動で作成するか、AppScan Go! を使用します。完了時にファイルの場所をメモします。
以下のいずれかです。
- プラグインのセットアップ時に、appscan-config.xml のディレクトリーの場所を「ターゲット・ディレクトリー」として指定します。または、
- appscan-config.xml が含まれているディレクトリーで appscan prepare を実行するか、-c オプションを使用して構成ファイルを指定します。
  例: appscan prepare -c /path/to/my/appscan-config.xml