主页
软件组成分析
使用软件组成分析 (SCA) 扫描代码使用的开源和第三方包中的安全漏洞。SCA 包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
扫描库和第三方代码以查找安全漏洞
要扫描开源库和第三方代码以查找安全漏洞，请按照这些主题中的步骤操作。
使用插件或 IDE 在 IRX 文件中生成
在集成开发环境中执行扫描
如何在将静态分析插件安装到 Eclipse 或 Visual Studio 集成开发环境 (IDE) 之后使用它们来扫描源代码。在 Eclipse 中，可以扫描 Java 项目；在 Visual Studio 中，可以扫描 .NET（C#、ASP.NET、VB.NET）。
管理第三方 Java 和 .NET 排除
缺省情况下，在 IRX 文件生成期间不会扫描第三方 Java 和 .NET 代码。可通过遵循本主题中的以下说明来管理被排除的第三方代码。

开始使用
欢迎使用 HCL AppScan on Cloud 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
导航
本部分将介绍主 AppScan on Cloud 菜单栏上的项目，以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
动态分析
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。对于开发环境，专用站点扫描技术可帮助扫描开放因特网无法访问的应用程序。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，ASoC 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 扫描代码使用的开源和第三方包中的安全漏洞。SCA 包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
- 关于软件成分分析
  软件成分分析 (SCA) 将查找和分析代码使用的开源和第三方包。
- SCA 的系统需求
  在执行开源测试时 ASoC 可以扫描的文件类型。
- 扫描库和第三方代码以查找安全漏洞
  要扫描开源库和第三方代码以查找安全漏洞，请按照这些主题中的步骤操作。
  - 在以下项中配置开源扫描 AppScan on Cloud
  - 使用 AppScan Go! 配置扫描
    AppScan Go! 将引导您配置和运行静态扫描。您可以在云端运行扫描，或者使用插件执行自动扫描。
  - 使用命令行界面 (CLI) 生成 IRX 文件
    要启动文件的分析，必须生成将提交进行扫描的 IRX 文件。要使用 CLI 生成 IRX 文件，请按照以下说明操作。
  - 使用插件或 IDE 在 IRX 文件中生成
    - 在集成开发环境中执行扫描
      如何在将静态分析插件安装到 Eclipse 或 Visual Studio 集成开发环境 (IDE) 之后使用它们来扫描源代码。在 Eclipse 中，可以扫描 Java 项目；在 Visual Studio 中，可以扫描 .NET（C#、ASP.NET、VB.NET）。
      - 为 .NET Core 项目生成 IRX 文件
        仅通过命令行界面 (CLI) 和 Windows 上 Visual Studio 2017 和 Visual Studio 2019 插件支持对 .NET Core 项目进行扫描。
      - 受支持的 .NET 源代码属性
        使用静态分析来扫描 .NET 时，支持 [ValidatorMethod]、[CallbackMethod] 和 [SuppressSecurityTrace] 方法级别属性。使用这些属性时，也接受 [ValidatorMethod()]、[CallbackMethod()] 和 [SuppressSecurityTrace()]。
      - 受支持的 Java 源代码注释
        使用静态分析来扫描 Java™ 时，支持 @ValidatorMethod、@CallbackMethod 和 @SuppressSecurityTrace 方法级别注释。
      - 管理第三方 Java 和 .NET 排除
        缺省情况下，在 IRX 文件生成期间不会扫描第三方 Java 和 .NET 代码。可通过遵循本主题中的以下说明来管理被排除的第三方代码。
      - 针对 Java 应用程序的并行处理
- SCA 扫描结果
  SCA 扫描结果中可用的功能。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
正在故障排除
如果使用此服务时遇到问题，您可以执行这些故障诊断任务以确定要采取的纠正措施。
常见问题解答与参考资料
常见问题解答、有关将 ASoC 集成到产品生命周期 (SDLC) 的信息以及 ASoC API 文档。

管理第三方 Java 和 .NET 排除

缺省情况下，在 IRX 文件生成期间不会扫描第三方 Java 和 .NET 代码。可通过遵循本主题中的以下说明来管理被排除的第三方代码。

关于此任务

为代码生成 IRX 文件时，将排除第三方代码，以便评估不包含您不想分析的代码的信息和结果。要修改被排除的内容，请遵循本主题中的步骤。但如果想要在扫描时包含第三方代码，请参阅以下主题：

过程

找到抽取的 SAClientUtil_<version>_<os>.zip 文件的 config 目录（其中 <version> 是 Command Line Utility 的当前版本）。
在此目录中，找到 dot_net.exclusions (.NET) 或 java.exclusions (Java) 文件。

注：该目录中的其他 .exclusions 文件是试验性的，修改它们将不会影响第三方排除。

在文本编辑器中打开文件，将看到它是以下格式的 XML 语句：

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Exclusions>
  <packages>
    <package name="package_name"/>
  </packages>
  ...
</Exclusions>

编辑文件以添加要排除的软件包。
注：
- 指定的软件包名称将与具有相同前缀的所有软件包匹配（它们被视为后跟通配符一般）。例如，如果您添加 <package name="com.mycompany.common"/> 作为排除，将排除 <package name="com.mycompany.common.action1"/> 和 <package name="com.mycompany.common.action2"/>。
- 只有添加到 <packages> 容器的条目会影响第三方排除。添加类和方法将不会影响排除。
保存文件，然后为源代码生成 IRX 文件。

下一步做什么

如果要修改排除文件，应参照以下最佳实践：

保留已修改的排除文件的备份。特别请记住，如果升级到 Static Analyzer Command Line Utility 的更新版本，将下载不包含更新的排除文件版本。更新 Command Line Utility 时，保留已修改的排除文件的副本，然后将它们复制到新的 Command Line Utility。
保留 XML 条目的单个块中的修改，以便在需要时可轻松地复制和粘贴这些修改。