使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
如果要掃描原始碼是否有安全漏洞,請遵循這些主題中的步驟。
歡迎使用 HCL AppScan 360° 說明文件,您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
瞭解 AppScan 360° 架構以及如何安裝產品。
定義使用者、應用程式、原則與配置 DevOps 整合。
本節說明主 AppScan 360° 功能表列上的項目,以及更詳細資訊的連結。
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,AppScan 360° 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
支援的作業系統,以及當您執行靜態分析時,AppScan 360° 可掃描的檔案類型、位置和專案。
AppScan Go! 會逐步引導您設定和執行靜態掃描。請在服務中執行掃描,或使用外掛程式來自動執行掃描。
Static Analyzer 指令行公用程式 (SAClientUtil) 用於產生可在 AppScan on Cloud 或 AppScan 360° 中掃描的 IRX。支援 appscan prepare 指令與 AppScan 360° 靜態分析 搭配使用。
SAClientUtil
appscan prepare
支援透過指令行介面 (CLI) 和透過 Visual Studio 2022 外掛程式(僅限 Windows)掃描 .NET Core 專案。
使用靜態分析來掃描 .NET 時,支援 [ValidatorMethod]、[CallbackMethod] 和 [SuppressSecurityTrace] 方法層次屬性。當使用這些屬性時,也會接受 [ValidatorMethod()]、[CallbackMethod()] 和 [SuppressSecurityTrace()]。
[ValidatorMethod]
[CallbackMethod]
[SuppressSecurityTrace]
[ValidatorMethod()]
[CallbackMethod()]
[SuppressSecurityTrace()]
使用靜態分析來掃描 Java™ 時,支援 @ValidatorMethod、@CallbackMethod 和 @SuppressSecurityTrace 方法層次註釋。
@ValidatorMethod
@CallbackMethod
@SuppressSecurityTrace
依預設,在 IRX 檔案產生的期間,不會掃描第三方 Java 和 .NET 程式碼。您可以遵循這個主題中的指示來管理執行的第三方程式碼。
SAST 掃描引擎會使用 AI 和輔助技術來改善偵測準確度並簡化結果分析。
如果您遇到靜態分析方面的問題,可以執行這些疑難排解工作,以判斷要採取的更正動作。
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。
將 AppScan 360° 整合至產品生命週期 (SDLC) 的一些常見問題與相關資訊。
