Welcome
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
SCA 扫描结果
SCA 扫描结果中可用的功能。

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
- 关于软件组成分析
  软件组成分析 (SCA) 识别并检查代码库中的开源软件包，以检测潜在的安全漏洞。SCA 可以分析单独的源代码文件和软件包管理器工件（如配置文件和锁定文件），以确定项目所依赖的开源软件包。
- SCA 的系统需求
  在执行开源测试时 AppScan 360° 可以扫描的文件类型。
- 扫描库和第三方代码中的安全漏洞
  要扫描开源库和第三方代码中的安全漏洞，请执行以下主题中的步骤。
- SCA 扫描结果
  SCA 扫描结果中可用的功能。
  - 修复组
    修复组当前仅适用于在静态分析扫描中发现的问题。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

SCA 扫描结果

SCA 扫描结果中可用的功能。

使用 AppScan 360° 服务的软件组成分析 (SCA) 功能时，可生成使用智能代码分析 (ICA) 的安全性分析报告。ICA 自动发现新的应用程序编程接口 (API) 并评估它们的安全影响。通过 ICA，将复审所有第三方 API 和框架并分配正确的安全影响。这将得到更加完整的扫描结果。要了解关于 ICA 的更多信息，请参阅此文章。

注：现在，扫描 Java、C/C++、.NET 和 PHP 时，仅应用 ICA。

SCA 评估按照修复组列示结果。修复组代表分组结果流经的最常用节点。通常，如果为修复组实施了修复，则可在最少工作的情况下实现最大效果。修复组还可视为可在其中同时查看相关发现结果的逻辑分组点。请注意，修复组可能不是应放置修复的确切位置。未来重构、代码实践和其他因素可能阻止对修复使用修复组位置。

注：每个修复组中最多显示 100 条结果（按漏洞类型）。