主页
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
關於軟體組成分析
軟體組合分析（SCA）會尋找並分析程式碼所使用的開放原始碼和第三方套件。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
- 關於軟體組成分析
  軟體組合分析（SCA）會尋找並分析程式碼所使用的開放原始碼和第三方套件。
  - SCA 工作流程
    軟體組成分析掃描步驟概述。
- SCA 系統需求
  當您執行開放原始碼測試時，ASoC 可掃描的檔案類型。
- 掃描式庫及第三方代碼以確認安全漏洞
  若要掃描開放原始碼程式庫及第三方代碼以確認安全漏洞，請遵循這些主題中的步驟。
- SCA 掃描結果
  SCA 掃描結果中可用的功能。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

關於軟體組成分析 (SCA)

軟體組合分析（SCA）會尋找並分析程式碼所使用的開放原始碼和第三方套件。

SCA 又稱為開放原始碼測試，會聚集各種來源的資訊，持續監視自動化程序的新漏洞。軟體組成分析 (SCA) 技術是透過供應鏈使用，以識別組織中使用的開放原始碼和第三方元件，以及其已知的安全漏洞和授權限制。SCA 可以偵測及擷取第三方元件、提供詳細的授權資訊、尋找已知漏洞及提供可動作的修正程式。

SCA 來源包含最熱門的安全性漏洞資料庫（NVD、Github 諮詢、Microsoft MSRC），以及許多較冷門的安全諮詢和開放程式碼專案問題追蹤程式。SCA 會每日更新。

SCA 需要特定的 ASoC 軟體組成分析工具訂閱。當您具備有效的訂閱時，開放原始碼測試會自行產生，或者在也有靜態分析授權時，自動包含在靜態分析掃描中。SCA 的功能如下：

在程式碼中尋找「開放原始碼」套件。要確保 ASoC 僅收集「開放原始碼」測試的資料，請使用 appscan prepare_sca（Eclipse 不適用）。
識別已知具有漏洞的開放原始碼套件。
針對有漏洞的套件建議補救。

結果會包含在「靜態分析」或「開放原始碼」報告及您的 ASoC 入口網站中。