Welcome
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
扫描安全漏洞
要扫描源代码中的安全漏洞，请执行以下主题中的步骤。
使用 Static Analyzer Command Line Utility
Static Analyzer Command Line Utility (SAClientUtil) 用于生成可在 AppScan on Cloud 或 AppScan 360° 中扫描的 IRX。支持将 appscan prepare 命令与 AppScan 360° Static Analysis 一起使用。
使用 CLI 配置 IRX 文件生成
使用配置文件来生成 IRX 文件，可在配置文件中指定单独的目标，也可包含或排除目标。此外，还可使用配置文件指定能够帮助生成完整 IRX 文件的其他信息。
使用 APPSCAN_OPTS 指定全局选项
设置 APPSCAN_OPTS 环境变量，以在运行扫描之前指定全局选项。使用 AppScan Go!、Static Analyzer Command Line Utility、IDE 和插件时，可以在扫描前指定全局选项。

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
- 静态分析的系统要求
  支持的操作系统以及在执行静态分析时 AppScan 360° 可以扫描的文件、位置和项目类型。
- 扫描安全漏洞
  要扫描源代码中的安全漏洞，请执行以下主题中的步骤。
  - 在以下位置配置扫描： AppScan 360°
  - 使用 AppScan Go! 配置扫描
    AppScan Go! 将引导您配置和运行静态扫描。在服务中运行扫描，或者使用插件执行自动扫描。
  - 使用 Static Analyzer Command Line Utility
    Static Analyzer Command Line Utility (SAClientUtil) 用于生成可在 AppScan on Cloud 或 AppScan 360° 中扫描的 IRX。支持将 appscan prepare 命令与 AppScan 360° Static Analysis 一起使用。
    - 设置 Static Analyzer Command Line Utility
      对于静态分析，下载小型 Command Line Utility。将该实用程序解压缩到本地磁盘时，可以使用其命令行界面 (CLI) 来执行安全性分析。
    - 使用 CLI 配置 IRX 文件生成
      使用配置文件来生成 IRX 文件，可在配置文件中指定单独的目标，也可包含或排除目标。此外，还可使用配置文件指定能够帮助生成完整 IRX 文件的其他信息。
      - 使用 APPSCAN_OPTS 指定全局选项
        设置 APPSCAN_OPTS 环境变量，以在运行扫描之前指定全局选项。使用 AppScan Go!、Static Analyzer Command Line Utility、IDE 和插件时，可以在扫描前指定全局选项。
    - 使用命令行界面 (CLI) 生成 IRX 文件
      要启动文件的分析，必须生成将提交进行扫描的 IRX 文件。要使用 CLI 生成 IRX 文件，请按照以下说明操作。
    - CLI 命令参考 (Windows)
      用于使用所下载并解压缩到本地磁盘的小型客户机命令行界面 (CLI) 来执行静态分析的 Windows 特定命令。
    - CLI 命令参考（Linux 和 macOS）
      用于使用所下载并解压缩到本地磁盘的小型客户机命令行界面 (CLI) 来执行静态分析的 Linux 特定命令。
  - 关于使用存档文件进行扫描
  - 语言特定功能
  - 静态分析扫描结果
    SAST 扫描引擎会使用人工智能和互补技术来提高检测准确性和简化结果分析。
- 静态分析故障诊断
  如果遇到静态分析的问题，可执行以下故障诊断任务来确定要采取的纠正措施。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

使用 `APPSCAN_OPTS` 指定全局选项

设置 APPSCAN_OPTS 环境变量，以在运行扫描之前指定全局选项。使用 AppScan Go!、Static Analyzer Command Line Utility、IDE 和插件时，可以在扫描前指定全局选项。

使用 APPSCAN_OPTS 时，必须在选项名称前面加上 -D。此外，在 Linux 系统中，值必须带双引号：

Windows
```
set APPSCAN_OPTS=<option>[=<value>]
```

Linux

export APPSCAN_OPTS="<option>[=<value>]"

例如，要使用选项 ENABLE_SECRETS：

Windows
```
set APPSCAN_OPTS=-DENABLE_SECRETS
```
Linux
```
export APPSCAN_OPTS="-DENABLE_SECRETS"
```

用于 APPSCAN_OPTS 的可用选项有：


选项	描述	值	缺省
用于配置分析的选项
`ENABLE_SECRETS`	启用扫描源文件中的密钥。
`OPENSOURCE_ONLY`	仅在 IRX 生成期间收集开源 (SCA) 信息。
`SOURCECODE_ONLY`	仅扫描源代码文件，忽略其他支持的文件类型（`.dll`、`.exe`、`.jar`、`.sln` 等）。
`STATIC_ANALYSIS_ONLY`	仅在 IRX 生成期间准备静态分析。
`thirdParty`	启用第三方代码静态分析。
`scan_speed`	将扫描速度设置为 `<value>`。	简单已均衡完全深度	深度
AppScan 360°-specific
`acceptssl`	允许连接不受信任的服务 URL。建议仅用于测试。
其他
`DEBUG`	启用调试日志记录。
`NO_ENCRYPT`	请勿加密生成的 `.irx` 文件。