主页
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
掃描是否有安全漏洞
如果要掃描原始碼是否有安全漏洞，請遵循這些主題中的步驟。
進行掃描配置： AppScan on Cloud
配置靜態分析掃描。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
- 關於靜態分析 (SAST)
- 靜態分析的系統需求
  支援的作業系統，以及當您執行靜態分析時，ASoC 可掃描的檔案類型、位置和專案。
- 掃描是否有安全漏洞
  如果要掃描原始碼是否有安全漏洞，請遵循這些主題中的步驟。
  - 進行掃描配置： AppScan on Cloud
    配置靜態分析掃描。
    - 掃描 GitHub 儲存庫
      靜態分析掃描可以進行設定和排程，直接從公開的 GitHub 儲存庫擷取原始碼。使用者可在分類 SAST 發現項目時，直接在 GitHub.com 上檢視相關的原始碼。發現項目可依檔案名稱或路徑過濾。
    - 掃描封存檔
      為您的應用程式掃描或產生 IRX 檔案，或識別要掃描的原始碼檔案。
    - 關於 IRX 檔案
      關於 IRX 檔案。
    - 掃描模式
      掃描模式會描述 AppScan on Cloud 是否會在專案中，針對特定語言掃描建置輸出（.dll、.jar 等等）或原始碼檔案。
    - 靜態分析掃描狀態
    - 個人掃描
      個人掃描是評估開發中應用程式相對安全性的一種方式，不會影響整體應用程式掃描資料（例如問題）或相符性。
  - 使用 AppScan Go! 配置掃描
    AppScan Go! 會逐步引導您設定和執行靜態掃描。您可以在雲端中執行掃描，或使用外掛程式來自動執行掃描。
  - 使用指令行介面 (CLI) 產生 IRX 檔案
    如果要起始檔案的分析，您必須產生要提交以進行掃描的 IRX 檔案。若要使用 CLI 產生 IRX 檔案，請遵循以下指示。
  - 使用外掛程式或 IDE 產生 IRX 檔案
  - 使用保存檔案配置掃描
  - 關於軟體組成分析
    軟體組合分析（SCA）會尋找並分析程式碼所使用的開放原始碼和第三方套件。
  - 靜態分析整合
  - 提交 HCL AppScan Source 評量至 Cloud 進行分析
    如果您有 HCL AppScan on Cloud 訂閱，您可以提交 AppScan Source 評量以進行分析。支援 AppScan Source 9.0 版或更新版本的評量。您可以提交的掃描數量取決於您的 ASoC 訂閱。
  - Java 掃描的最佳實務
  - 靜態分析掃描結果
    靜態分析掃描結果中可用的功能。
- 範例應用程式與 Script
  使用範例應用程式練習搭配 ASoC 一起掃描。
- 靜態分析疑難排解
  如果您遇到靜態分析方面的問題，可以執行這些疑難排解工作，以判斷要採取的更正動作。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

進行掃描配置： AppScan on Cloud

配置靜態分析掃描。

程序

如果要掃描應用程式，請執行下列動作：

下載及設定下列任一項：
- 支援的外掛程式。
  支援的外掛程式的完整資訊會列在 AppScan on Cloud 外掛程式及 API 頁面及外掛程式和整合說明文件頁面上。
- AppScan Go!，用戶端公用程式圖形使用者介面。
- Static Analyzer 指令行公用程式，如設定 Static Analyzer 指令行公用程式中所述。
識別您要掃描的內容。您可以掃描 GitHub 儲存庫、IRX 檔案或原始碼檔案：
1. 識別要掃描的公開 GitHub 儲存庫，並確認您擁有適當的存取權限。
  AppScan on Cloud 需要儲存庫的讀取存取權，才能對其執行安全掃描。
  
  註：若要掃描私有儲存庫，請在擁有該儲存庫的 GitHub 帳戶或組織上安裝 HCL AppScan on Cloud GitHub 應用程式。請參閱從第三方安裝 GitHub 應用程式。
2. 如果要使用 CLI 產生 IRX 檔案，請遵循使用指令行介面 (CLI) 產生 IRX 檔案中的指示。您可以從 CLI 掃描所有支援的語言。
3. 如果要為 Maven 專案產生 IRX 檔案，請遵循執行 Maven 專案的靜態分析中的指示。Maven 僅支援 Java 和 Android 專案。
4. 如果要在 Eclipse、IntelliJ IDEA 或 Visual Studio 中掃描，請遵循在整合開發環境中掃描中的指示。在 Eclipse 和 IntelliJ IDEA 中，您可以掃描 Java 專案；而在 Visual Studio 中，您可以掃描 .NET（C#、ASP.NET、VB.NET）。
5. 如果要使用 AppScan Go! 產生 IRX 檔案，請遵循使用 AppScan Go! 配置掃描中的指示。
6. 若要掃描原始碼檔案，請識別適當的 .zip、.war、.jar 或 .ear 檔案。
註：掃描程式碼或產生 IRX 檔案時，您可能會接收到關於更新至最新 Static Analyzer 指令行公用程式的訊息。請參閱指令行公用程式 (CLI) 支援。
如果您尚未執行此操作，請為您的掃描建立應用程式。
使用建立掃描精靈開始配置您的掃描。選取應用程式 > <Application> > 建立掃描 > SAST 靜態分析：建立掃描。
- 選取「掃描 GitHub 儲存庫」以掃描儲存庫。
- 選取「上傳封存庫」以掃描 IRX 或原始碼檔案。