Welcome
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
扫描库和第三方代码中的安全漏洞
要扫描开源库和第三方代码中的安全漏洞，请执行以下主题中的步骤。
使用插件或 IDE 在 IRX 文件中生成

入门指南
欢迎使用 HCL AppScan 360° 文档，在其中可找到关于如何安装、维护和使用此服务的信息。
安装
了解 AppScan 360° 架构以及如何安装产品。
导航
本部分将介绍主 AppScan 360° 菜单栏上的项目，以及更详细信息的链接。
管理
定义用户、应用程序、策略以及配置 DevOps 集成。
动态分析
HCL AppScan 360° 对生产、登台和开发环境的 Web 应用程序执行安全性扫描。
交互式监控
使用安装在应用程序上的代理程序，通过监控所有合法和恶意的交互，AppScan 360° 可在运行时识别应用程序中的安全漏洞。从 IAST 不会发送其自有测试的意义上来说，该过程是“被动的”，因此可以无限期运行。
软件组成分析
使用软件组成分析 (SCA) 来扫描代码所用的开源和第三方包中的安全漏洞。SCA 包括智能结果分析 (IFA) 和智能代码分析 (ICA)。
- 关于软件组成分析
  软件组成分析 (SCA) 识别并检查代码库中的开源软件包，以检测潜在的安全漏洞。SCA 可以分析单独的源代码文件和软件包管理器工件（如配置文件和锁定文件），以确定项目所依赖的开源软件包。
- SCA 的系统需求
  在执行开源测试时 AppScan 360° 可以扫描的文件类型。
- 扫描库和第三方代码中的安全漏洞
  要扫描开源库和第三方代码中的安全漏洞，请执行以下主题中的步骤。
  - 在以下项中配置开源扫描 AppScan 360°
  - 使用 AppScan Go! 配置扫描
    AppScan Go! 将引导您配置和运行静态扫描。在服务中运行扫描，或者使用插件执行自动扫描。
  - 使用命令行界面 (CLI) 生成 IRX 文件
    要启动文件的分析，必须生成将提交进行扫描的 IRX 文件。要使用 CLI 生成 IRX 文件，请按照以下说明操作。
  - 使用插件或 IDE 在 IRX 文件中生成
    - 在集成开发环境中执行扫描
      如何在将静态分析插件安装到 Visual Studio 集成开发环境 (IDE) 之后使用它们来扫描源代码。您可以扫描 .NET（C#、ASP.NET、VB.NET）。
  - 使用软件物料清单 (SBOM) 报告生成 IRX 文件
    使用 REST API 根据 SPDX 2.3 格式的软件物料清单 (SBOM) 报告创建 IRX 文件。
  - 运行时软件组成分析
    识别和管理应用程序在运行时使用的开源组件和库中的漏洞。
- SCA 扫描结果
  SCA 扫描结果中可用的功能。
静态分析
使用静态分析 (SAST) 扫描 Web 和桌面应用程序中是否有安全漏洞。静态分析包括 Intelligent Finding Analytics (IFA) 和 Intelligent Code Analytics (ICA)。
结果
“扫描和会话”页面在 DAST、SAST、SCA 和 IAST 类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。“扫描和会话”页面在各个类别下列出扫描，您可以在其中查看扫描结果，包括扫描统计数据。要查看、重新扫描或下载报告，请选择扫描。
AppScan Model Context Protocol (MCP) 服务器
AppScan MCP 服务器将 HCL AppScan 360° 直接与 AI 赋能的开发环境和代理程序进行集成。通过实施 Model Context Protocol (MCP)，此服务器允许 LLM（如 Claude 或在 VS Code 中运行的模型）安全地访问您的安全数据（包括 SAST、DAST、SCA 和 IAST 结果），以帮助您利用自然语言筛选问题、分析结果和实现工作流程自动化。
参考
一些常见问题解答、有关将 AppScan 360° 集成到产品生命周期 (SDLC) 的信息。

使用插件或 IDE 生成 IRX 文件

HCL AppScan 360° 提供插件，以便使用某些语言和开发人员工具更轻松地进行扫描。 AppScan 360° 还可以在安装插件时在某些集成开发环境 (IDE) 中进行扫描。有关插件的完整列表，请参阅集成。

在集成开发环境中执行扫描