Welcome
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
Static Analyzer コマンド行ユーティリティーの使用
Static Analyzer コマンド行ユーティリティー (SAClientUtil) は、AppScan on Cloud または AppScan 360° でスキャンできる IRX を生成するために使用します。この appscan prepare コマンドは、AppScan 360° 静的分析との併用に対応しています。
CLI を使用した IRX ファイル生成の構成
IRX ファイルの生成に構成ファイルを使用します。その場合は、個々のターゲットを指定する、つまりターゲットを含めるか除外するかを指定することができます。さらに、構成ファイルを使用して完全な IRX ファイルの生成に役立つ追加情報を指定することもできます。
APPSCAN_OPTS でのグローバル・オプションの指定
スキャンを実行する前に、環境変数 APPSCAN_OPTS を設定して、グローバル・オプションを指定します。AppScan Go!、Static Analyzer コマンド行ユーティリティー、IDE、およびプラグインを使用する場合、スキャン前にグローバル・オプションを指定できます。

作業の開始
HCL AppScan 360° の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
インストール
AppScan 360° のアーキテクチャーと製品のインストール方法について説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
ナビゲーション
このセクションでは、AppScan 360° のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
動的分析
HCL AppScan 360° は、実動環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。
インタラクティブ監視
AppScan 360° は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- 静的分析のシステム要件
  サポートされているオペレーティング・システムと、静的分析を実行する場合に AppScan 360° でスキャンできるファイルのタイプ、場所、プロジェクト。
- セキュリティーの脆弱性のスキャン
  セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
  - 次でのスキャンの設定: AppScan 360°
  - AppScan Go! を使用したスキャンの構成
    AppScan Go! は、静的スキャンの設定と実行を手順を説明します。サービスでスキャンを実行するか、プラグインを使用してスキャンを自動化します。
  - Static Analyzer コマンド行ユーティリティーの使用
    Static Analyzer コマンド行ユーティリティー (SAClientUtil) は、AppScan on Cloud または AppScan 360° でスキャンできる IRX を生成するために使用します。この appscan prepare コマンドは、AppScan 360° 静的分析との併用に対応しています。
    - Static Analyzer コマンド行ユーティリティーのセットアップ
      静的分析を行う場合は、小規模なコマンド行ユーティリティーをダウンロードします。ユーティリティーをローカル・ディスクに抽出すると、コマンド行インターフェース (CLI) を使用してセキュリティー分析を実行できます。
    - CLI を使用した IRX ファイル生成の構成
      IRX ファイルの生成に構成ファイルを使用します。その場合は、個々のターゲットを指定する、つまりターゲットを含めるか除外するかを指定することができます。さらに、構成ファイルを使用して完全な IRX ファイルの生成に役立つ追加情報を指定することもできます。
      - APPSCAN_OPTS でのグローバル・オプションの指定
        スキャンを実行する前に、環境変数 APPSCAN_OPTS を設定して、グローバル・オプションを指定します。AppScan Go!、Static Analyzer コマンド行ユーティリティー、IDE、およびプラグインを使用する場合、スキャン前にグローバル・オプションを指定できます。
    - コマンド行インターフェース (CLI) を使用した IRX ファイルの生成
      ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。
    - CLI コマンド解説 (Windows)
      小規模なクライアント・コマンド行インターフェース (CLI) を使用して静的分析を実行するための Windows 固有のコマンド。CLI は、ローカル・ディスクにダウンロードして解凍して使用します。
    - CLI コマンド・リファレンス (Linux および macOS)
      小規模なクライアント・コマンド行インターフェース (CLI) を使用して静的分析を実行するための Linux 固有のコマンド。CLI は、ローカル・ディスクにダウンロードして解凍して使用します。
  - アーカイブ・ファイルを使用したスキャン
  - 言語固有の機能
  - 静的分析スキャンの結果
    SAST スキャン・エンジンでは、AI および補完技術を使用して検出精度を向上させ、結果分析を効率化しています。
- 静的分析のトラブルシューティング
  静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
参照
よくある質問、および製品ライフサイクル (SDLC) への AppScan 360° の統合に関する情報。

`APPSCAN_OPTS` でのグローバル・オプションの指定

スキャンを実行する前に、環境変数 APPSCAN_OPTS を設定して、グローバル・オプションを指定します。AppScan Go!、Static Analyzer コマンド行ユーティリティー、IDE、およびプラグインを使用する場合、スキャン前にグローバル・オプションを指定できます。

APPSCAN_OPTS を使用する場合は、オプション名の前に -D を付ける必要があります。さらに、Linux システムでは、値を二重引用符で囲む必要があります。

Windows
```
set APPSCAN_OPTS=<option>[=<value>]
```

Linux

export APPSCAN_OPTS="<option>[=<value>]"

たとえば、ENABLE_SECRETS オプションを使用する場合:

Windows
```
set APPSCAN_OPTS=-DENABLE_SECRETS
```
Linux
```
export APPSCAN_OPTS="-DENABLE_SECRETS"
```

APPSCAN_OPTS で使用できるオプションは次のとおりです。


オプション	説明	値	デフォルト
分析を構成するためのオプション
`ENABLE_SECRETS`	すべてのソース・ファイルのシークレットのスキャンを有効化します。
`OPENSOURCE_ONLY`	IRX の生成時にのみオープン・ソース (SCA) 情報を収集します。
`SOURCECODE_ONLY`	サポートされている他のファイル・タイプ (`.dll`、`.exe`、`.jar`、`.sln` など) のみを無視して、ソース・コード・ファイルをスキャンします。
`STATIC_ANALYSIS_ONLY`	IRX の生成時のみ、静的分析の準備をします。
`thirdParty`	サードパーティ・コードの静的分析を有効にします。
`scan_speed`	スキャン速度を `<value>` に設定します。	シンプル平衡完全詳細	詳細
AppScan 360° 固有
`acceptssl`	信頼できないサービス URL への接続を許可します。テストのみに推奨されます。
その他
`DEBUG`	デバッグ・ロギングを有効にします。
`NO_ENCRYPT`	生成された `.irx` ファイルを暗号化しません。