Welcome
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
扫描安全漏洞
要扫描源代码中的安全漏洞，请执行以下主题中的步骤。
语言特定功能
技术预览：简化了 .NET 数据流分析的配置流程
AppScan 360° 提供了一种对 .NET 源代码（C# 和 VB.NET）进行数据流分析，以生成 .irx 文件来扫描 .NET 应用程序的新方法。

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
- 静态分析的系统要求
  支持的操作系统以及在执行静态分析时 AppScan 360° 可以扫描的文件、位置和项目类型。
- 扫描安全漏洞
  要扫描源代码中的安全漏洞，请执行以下主题中的步骤。
  - 在以下位置配置扫描： AppScan 360°
  - 使用 AppScan Go! 配置扫描
    AppScan Go! 将引导您配置和运行静态扫描。在服务中运行扫描，或者使用插件执行自动扫描。
  - 使用 Static Analyzer Command Line Utility
    Static Analyzer Command Line Utility (SAClientUtil) 用于生成可在 AppScan on Cloud 或 AppScan 360° 中扫描的 IRX。支持将 appscan prepare 命令与 AppScan 360° Static Analysis 一起使用。
  - 关于使用存档文件进行扫描
  - 语言特定功能
    - 为 .NET Core 项目生成 IRX 文件
      仅通过命令行界面 (CLI) 和 Windows 上 Visual Studio 2022 插件支持对 .NET Core 项目的扫描。
    - 受支持的 .NET 源代码属性
      使用静态分析来扫描 .NET 时，支持 [ValidatorMethod]、[CallbackMethod] 和 [SuppressSecurityTrace] 方法级别属性。使用这些属性时，也接受 [ValidatorMethod()]、[CallbackMethod()] 和 [SuppressSecurityTrace()]。
    - 受支持的 Java 源代码注释
      使用静态分析来扫描 Java™ 时，支持 @ValidatorMethod、@CallbackMethod 和 @SuppressSecurityTrace 方法级别注释。
    - 管理第三方 Java 和 .NET 排除
      缺省情况下，在 IRX 文件生成期间不会扫描第三方 Java 和 .NET 代码。可通过遵循本主题中的以下说明来管理被排除的第三方代码。
    - 技术预览：简化了 .NET 数据流分析的配置流程
      AppScan 360° 提供了一种对 .NET 源代码（C# 和 VB.NET）进行数据流分析，以生成 .irx 文件来扫描 .NET 应用程序的新方法。
  - 静态分析扫描结果
    SAST 扫描引擎会使用人工智能和互补技术来提高检测准确性和简化结果分析。
- 静态分析故障诊断
  如果遇到静态分析的问题，可执行以下故障诊断任务来确定要采取的纠正措施。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
AppScan Model Context Protocol (MCP) 服务器
AppScan MCP 服务器将 HCL AppScan 360° 直接与 AI 赋能的开发环境和代理程序进行集成。通过实施 Model Context Protocol (MCP)，此服务器允许 LLM（如 Claude 或在 VS Code 中运行的模型）安全地访问您的安全数据（包括 SAST、DAST、SCA 和 IAST 结果），以帮助您利用自然语言筛选问题、分析结果和实现工作流程自动化。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

技术预览：简化了 .NET 数据流分析的配置流程

AppScan 360° 提供了一种对 .NET 源代码（C# 和 VB.NET）进行数据流分析，以生成 .irx 文件来扫描 .NET 应用程序的新方法。

目前，当 AppScan 360° 遇到 Visual Studio 解决方案文件（.sln 文件）时，它会先构建解决方案和项目来生成 .NET 组合件（.dll 和 .exe 文件），然后处理这些 .NET 组合件以生成要提交进行分析的 .irx 文件。

当用户启用此新功能时，AppScan 360° 可以直接处理 Visual Studio 源代码以生成要分析的 .irx 文件。这将：

加快 .irx 的生成。
系统灵活性：不强制要求具备能够将源代码编译为 .NET 组合件的构建环境。
源代码的源到接收器数据流结果。
跨平台 .NET 支持。

可通过以下三种方式之一启用此功能：

使用环境变量来实现全局应用：
- Windows：set APPSCAN_OPTS=-DNewDotNetEngine
- Linux/Mac：export APPSCAN_OPTS="-DNewDotNetEngine"
使用 Static Analyzer Command Line Utility 时，向 appscan prepare 命令中添加一个参数：
```
appscan.bat prepare -DNewDotNetEngine
```

在 appscan-config.xml 中指定属性：

在配置元素中：

<Configuration NewDotNetEngine="true">
    <Targets>
        <Target path="."/>
    </Targets>
</Configuration>

启用后，如果在扫描配置期间发现 Visual Studio 解决方案文件（.sln 文件），则系统将在生成 .irx 文件的过程中处理所有的 C# (.cs) 和 VB.NET (.vb) 源文件。在 AppScan 360° 中完成对 .irx 的分析后，扫描结果中将提供显示源到接收器跟踪的结果。