使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
要扫描源代码中的安全漏洞,请执行以下主题中的步骤。
欢迎使用 HCL AppScan 360° 文档,在其中可找到关于如何安装、维护和使用此服务的信息。
了解 AppScan 360° 架构以及如何安装产品。
定义用户、应用程序、策略以及配置 DevOps 集成。
本部分将介绍主 AppScan 360° 菜单栏上的项目,以及更详细信息的链接。
AppScan on Cloud 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
支持的操作系统以及在执行静态分析时 AppScan 360° 可以扫描的文件、位置和项目类型。
AppScan Go! 将引导您配置和运行静态扫描。您可以在云端运行扫描,或者使用插件执行自动扫描。
Static Analyzer Command Line Utility (SAClientUtil) 用于生成可在 AppScan on Cloud 或 AppScan 360° 中扫描的 IRX。支持将 appscan prepare 命令与 AppScan 360° Static Analysis 一起使用。
SAClientUtil
appscan prepare
仅通过命令行界面 (CLI) 和 Windows 上 Visual Studio 2017 和 Visual Studio 2019 插件支持对 .NET Core 项目进行扫描。
使用静态分析来扫描 .NET 时,支持 [ValidatorMethod]、[CallbackMethod] 和 [SuppressSecurityTrace] 方法级别属性。使用这些属性时,也接受 [ValidatorMethod()]、[CallbackMethod()] 和 [SuppressSecurityTrace()]。
[ValidatorMethod]
[CallbackMethod]
[SuppressSecurityTrace]
[ValidatorMethod()]
[CallbackMethod()]
[SuppressSecurityTrace()]
使用静态分析来扫描 Java™ 时,支持 @ValidatorMethod、@CallbackMethod 和 @SuppressSecurityTrace 方法级别注释。
@ValidatorMethod
@CallbackMethod
@SuppressSecurityTrace
缺省情况下,在 IRX 文件生成期间不会扫描第三方 Java 和 .NET 代码。可通过遵循本主题中的以下说明来管理被排除的第三方代码。
静态分析扫描结果中可用的功能。
如果遇到静态分析的问题,可执行以下故障诊断任务来确定要采取的纠正措施。
“扫描和会话”页面将扫描列在各个类别下,您可以在其中查看扫描结果,包括扫描统计数据。要查看、重新扫描或下载报告,请选择扫描。
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。