使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
要扫描源代码中的安全漏洞,请执行以下主题中的步骤。
欢迎使用 HCL AppScan 360° 文档,在其中可找到关于如何安装、维护和使用此服务的信息。
了解 AppScan 360° 架构以及如何安装产品。
定义用户、应用程序、策略以及配置 DevOps 集成。
本部分将介绍主 AppScan 360° 菜单栏上的项目,以及更详细信息的链接。
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
使用安装在应用程序上的代理程序,通过监控所有合法和恶意的交互,AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说,该过程是“被动的”,因此可以无限期运行。
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
支持的操作系统以及在执行静态分析时 AppScan 360° 可以扫描的文件、位置和项目类型。
AppScan Go! 将引导您配置和运行静态扫描。在服务中运行扫描,或者使用插件执行自动扫描。
Static Analyzer Command Line Utility (SAClientUtil) 用于生成可在 AppScan on Cloud 或 AppScan 360° 中扫描的 IRX。支持将 appscan prepare 命令与 AppScan 360° Static Analysis 一起使用。
SAClientUtil
appscan prepare
仅通过命令行界面 (CLI) 和 Windows 上 Visual Studio 2022 插件支持对 .NET Core 项目的扫描。
使用静态分析来扫描 .NET 时,支持 [ValidatorMethod]、[CallbackMethod] 和 [SuppressSecurityTrace] 方法级别属性。使用这些属性时,也接受 [ValidatorMethod()]、[CallbackMethod()] 和 [SuppressSecurityTrace()]。
[ValidatorMethod]
[CallbackMethod]
[SuppressSecurityTrace]
[ValidatorMethod()]
[CallbackMethod()]
[SuppressSecurityTrace()]
使用静态分析来扫描 Java™ 时,支持 @ValidatorMethod、@CallbackMethod 和 @SuppressSecurityTrace 方法级别注释。
@ValidatorMethod
@CallbackMethod
@SuppressSecurityTrace
缺省情况下,在 IRX 文件生成期间不会扫描第三方 Java 和 .NET 代码。可通过遵循本主题中的以下说明来管理被排除的第三方代码。
SAST 扫描引擎会使用人工智能和互补技术来提高检测准确性和简化结果分析。
如果遇到静态分析的问题,可执行以下故障诊断任务来确定要采取的纠正措施。
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描,您可以在其中查看扫描结果,包括扫描统计数据。要查看、重新扫描或下载报告,请选择扫描。“扫描和会话”页面在各个类别下列出扫描,您可以在其中查看扫描结果,包括扫描统计数据。要查看、重新扫描或下载报告,请选择扫描。
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。
