Welcome
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
扫描安全漏洞
要扫描源代码中的安全漏洞，请执行以下主题中的步骤。
在以下位置配置扫描： AppScan 360°
扫描 GitHub 存储库
静态分析扫描可以配置和计划，以便直接从公共 GitHub 存储库中提取源代码。对 SAST 结果进行分类时，用户可以直接在 GitHub.com 上查看相关源代码。可以按文件名或路径过滤结果。 AppScan 360° 支持每次扫描只扫描一个 GitHub 存储库。
扫描 GitHub Enterprise 服务器上的存储库
您可以使用 AppScan Presence 直接在 GitHub Enterprise 存储库上运行静态分析。

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
- 静态分析的系统要求
  支持的操作系统以及在执行静态分析时 AppScan 360° 可以扫描的文件、位置和项目类型。
- 扫描安全漏洞
  要扫描源代码中的安全漏洞，请执行以下主题中的步骤。
  - 在以下位置配置扫描： AppScan 360°
    - 扫描 GitHub 存储库
      静态分析扫描可以配置和计划，以便直接从公共 GitHub 存储库中提取源代码。对 SAST 结果进行分类时，用户可以直接在 GitHub.com 上查看相关源代码。可以按文件名或路径过滤结果。 AppScan 360° 支持每次扫描只扫描一个 GitHub 存储库。
      - 扫描 GitHub Enterprise 服务器上的存储库
        您可以使用 AppScan Presence 直接在 GitHub Enterprise 存储库上运行静态分析。
      - 设置 AppScan Presence 以直接扫描 GitHub 存储库
        您可以使用 AppScan Presence 对 GitHub Enterprise 存储库运行静态分析。
    - 扫描方式
      扫描方式将描述 AppScan 360° 是扫描构建输出（.dll、.jar 等），还是扫描项目中特定语言的源代码文件。
    - 静态分析扫描状态
  - 使用 AppScan Go! 配置扫描
    AppScan Go! 将引导您配置和运行静态扫描。在服务中运行扫描，或者使用插件执行自动扫描。
  - 使用 Static Analyzer Command Line Utility
    Static Analyzer Command Line Utility (SAClientUtil) 用于生成可在 AppScan on Cloud 或 AppScan 360° 中扫描的 IRX。支持将 appscan prepare 命令与 AppScan 360° Static Analysis 一起使用。
  - 关于使用存档文件进行扫描
  - 语言特定功能
  - 静态分析扫描结果
    SAST 扫描引擎会使用人工智能和互补技术来提高检测准确性和简化结果分析。
- 静态分析故障诊断
  如果遇到静态分析的问题，可执行以下故障诊断任务来确定要采取的纠正措施。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

扫描 GitHub Enterprise 服务器上的存储库

您可以使用 AppScan Presence 直接在 GitHub Enterprise 存储库上运行静态分析。

AppScan Presence 包含可选的支持，可使用 GitHub 应用程序从 GitHub Enterprise 服务器对 GitHub 存储库运行静态分析。GitHub 服务器不一定可以公开访问；但是，AppScan 用户必须具有 GitHub 服务器的网络访问权限和 GitHub 存储库的访问权限。

在配置扫描之前，请设置 AppScan Presence 并安装和配置 GitHub 应用程序。

使用创建扫描向导配置扫描。选择应用程序 > <应用程序> > 创建扫描 > SAST 静态分析：创建扫描 > 扫描 GitHub 存储库。
在 GitHub 连接选项卡上，单击 GitHub Enterprise 复选框。
从下拉列表中选择相应的已启用 AppScan Presence。
单击与 GitHub 连接以登录 GitHub。
获得授权后，可用存储库将在存储库选项卡上列出。仅需授权一次。
在存储库选项卡上，指定要从可用存储库列表中扫描的存储库和分支。
从可用存储库列表中选择存储库时，请先选择父项，然后选择分支。
在计划选项卡中，指定应立即运行扫描，保存扫描配置以供日后使用，或计划重复扫描：
- 立即扫描
  单击“扫描”按钮后，扫描将立即运行。如果此时正在运行的并发扫描数达到最大数量，则该扫描将添加到队列中，并在达到队列最前面时开始运行。
- 保存以供日后使用
  扫描配置已准备就绪，可以运行，并已添加到扫描页面，状态为“配置已保存”。保存的配置无法编辑。
- 计划
  - 指示扫描的开始日期和时间。
  - 如果希望按计划重复扫描，请指定频率（每天、每周、每月）和更多详细信息。
  - 指示何时应停止重新扫描。
在扫描选项选项卡上指示其他扫描首选项：
- 选择将扫描作为个人扫描来运行，其安全性问题不会添加到整个应用程序的问题中。
- 您也可以选择在扫描完成时向您发送电子邮件的缺省选项。
在摘要选项卡上，根据需要编辑为扫描指定的缺省名称，并查看扫描选择。
准备扫描时单击扫描。