Welcome
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
关于软件组成分析
软件组成分析 (SCA) 识别并检查代码库中的开源软件包，以检测潜在的安全漏洞。SCA 可以分析单独的源代码文件和软件包管理器工件（如配置文件和锁定文件），以确定项目所依赖的开源软件包。

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
- 关于软件组成分析
  软件组成分析 (SCA) 识别并检查代码库中的开源软件包，以检测潜在的安全漏洞。SCA 可以分析单独的源代码文件和软件包管理器工件（如配置文件和锁定文件），以确定项目所依赖的开源软件包。
  - SCA 工作流程和最佳实践
    软件组成分析扫描步骤概述和最佳实践
- SCA 的系统需求
  在执行开源测试时 AppScan 360° 可以扫描的文件类型。
- 扫描库和第三方代码中的安全漏洞
  要扫描开源库和第三方代码中的安全漏洞，请执行以下主题中的步骤。
- SCA 扫描结果
  SCA 扫描结果中可用的功能。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

关于软件组成分析 (SCA)

软件组成分析 (SCA) 识别并检查代码库中的开源软件包，以检测潜在的安全漏洞。SCA 可以分析单独的源代码文件和软件包管理器工件（如配置文件和锁定文件），以确定项目所依赖的开源软件包。

SCA 也称为开源测试，可聚合来自各种来源的信息，在自动化过程中不断监控新的漏洞。软件组成分析 (SCA) 技术在整个供应链中用于识别组织中使用的开源和第三方组件及组织已知的安全漏洞和许可证限制。SCA 可以检测和抽取第三方组件，提供详细的许可证信息，查找已知漏洞和恶意软件，以及提供可行修复。

SCA 来源包括非常知名的安全漏洞数据库（NVD、Github 公告、Microsoft MSRC）以及各种知名度相对较小的安全公告和开放式源代码项目问题跟踪程序。SCA 会每天更新。

SCA 需要一个特定 AppScan 360° Software Composition Analyzer 订阅。若您具有有效的订阅，开放式源代码测试将由其自身生成或（同时存在静态分析权利的情况下）自动包含在静态分析扫描中。SCA 执行下列操作：

查找代码中的开放式源代码包为确保 AppScan 360° 仅收集用于开源测试的数据，请使用 appscan prepare_sca。
确定已知具有漏洞的开放式源代码软件包。
建议对易受攻击的软件包进行修复。

结果将包含在静态分析报告或开放式源代码报告中以及您的 AppScan 360° 门户网站中。