Welcome
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
扫描库和第三方代码中的安全漏洞
要扫描开源库和第三方代码中的安全漏洞，请执行以下主题中的步骤。
在以下项中配置开源扫描 AppScan 360°

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
- 关于软件组成分析
  软件组成分析 (SCA) 识别并检查代码库中的开源软件包，以检测潜在的安全漏洞。SCA 可以分析单独的源代码文件和软件包管理器工件（如配置文件和锁定文件），以确定项目所依赖的开源软件包。
- SCA 的系统需求
  在执行开源测试时 AppScan 360° 可以扫描的文件类型。
- 扫描库和第三方代码中的安全漏洞
  要扫描开源库和第三方代码中的安全漏洞，请执行以下主题中的步骤。
  - 在以下项中配置开源扫描 AppScan 360°
    - 扫描状态
    - 个人扫描
      个人扫描是一种评估开发中应用程序的相对安全性而又不影响整个应用程序扫描数据（例如问题）或合规性的方法。
  - 使用 AppScan Go! 配置扫描
    AppScan Go! 将引导您配置和运行静态扫描。在服务中运行扫描，或者使用插件执行自动扫描。
  - 使用命令行界面 (CLI) 生成 IRX 文件
    要启动文件的分析，必须生成将提交进行扫描的 IRX 文件。要使用 CLI 生成 IRX 文件，请按照以下说明操作。
  - 使用插件或 IDE 在 IRX 文件中生成
  - 运行时软件组成分析
    识别和管理应用程序在运行时使用的开源组件和库中的漏洞。
- SCA 扫描结果
  SCA 扫描结果中可用的功能。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

在以下项中配置开源扫描 AppScan 360°

过程

要扫描应用程序，请执行以下操作：

下载并设置：
- 受支持的插件。
  有关受支持插件的完整信息列于 AppScan on Cloud 插件和 API 页面和集成文档页面上。
- AppScan Go!，客户机实用程序图形用户界面。
- Static Analyzer Command Line Utility，如使用 Static Analyzer Command Line Utility 中所述。
扫描或生成应用程序的 IRX 文件，或确定要扫描的源代码文件。
1. 要使用 CLI 生成 IRX 文件，请遵循使用命令行界面 (CLI) 生成 IRX 文件中的指示信息。可以通过 CLI 来扫描所有受支持的语言。
  
  注：要仅扫描开放源代码，请使用 -oso 命令与 appscan prepare。
2. 要使用 AppScan Go! 生成 IRX 文件，请根据使用 AppScan Go! 配置扫描中所述执行操作。
3. 要扫描源代码文件，请标识相应的 .zip、.war、.jar 或 .ear 文件。
  注：必须将不是 .war、.jar 或 .ear 文件的源代码文件压缩为 .zip 文件。如果 .zip 包含 .git 元数据（GitHub 存储库），则 AppScan 360° 支持每次扫描只扫描一个存储库（.git 文件）。
注：扫描代码或生成 IRX 文件时，可能会收到有关更新到最新 Static Analyzer Command Line Utility 的消息。请参阅命令行实用程序 (CLI) 支持。
如果尚未这样做：为扫描创建应用程序。
使用创建扫描向导开始配置扫描。通过应用程序 > 应用程序 > 扫描 > 创建扫描 > SCA 软件组成分析 > 创建扫描启动向导。
“上载文件”选项卡：将要扫描的 .irx 文件拖放到对话框中，或单击该框以浏览文件。
单击审核和扫描进入摘要对话框。
编辑为扫描指定的缺省名称。可选。
单击立即扫描。