Welcome
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
關於軟體組成分析
軟體組成分析 (SCA) 會辨識並檢查代碼庫中的開放原始碼套件，以偵測潛在的安全漏洞。SCA 可以分析個別的原始碼檔案及套件管理程式構件，例如配置檔和鎖定檔，以判斷專案所依存的開放原始碼套件。
SCA 工作流程與最佳做法
軟體組成分析掃描步驟概述及最佳作法

開始使用
歡迎使用 HCL AppScan 360° 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
安裝
瞭解 AppScan 360° 架構以及如何安裝產品。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
導覽
本節說明主 AppScan 360° 功能表列上的項目，以及更詳細資訊的連結。
動態分析
HCL AppScan 360° 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，AppScan 360° 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
- 關於軟體組成分析
  軟體組成分析 (SCA) 會辨識並檢查代碼庫中的開放原始碼套件，以偵測潛在的安全漏洞。SCA 可以分析個別的原始碼檔案及套件管理程式構件，例如配置檔和鎖定檔，以判斷專案所依存的開放原始碼套件。
  - SCA 工作流程與最佳做法
    軟體組成分析掃描步驟概述及最佳作法
- SCA 系統需求
  當您執行開放原始碼測試時，AppScan 360° 可掃描的檔案類型。
- 掃描程式庫及第三方代碼以確認安全漏洞
  若要掃描開放原始碼程式庫及第三方代碼以找出安全漏洞，請遵循這些主題中的步驟。
- SCA 掃描結果
  SCA 掃描結果中可用的功能。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
參照
將 AppScan 360° 整合至產品生命週期 (SDLC) 的一些常見問題與相關資訊。

SCA 工作流程與最佳做法

軟體組成分析掃描步驟概述及最佳作法

執行 SCA 掃描的一般步驟如下。可能需要額外步驟才能達到您的掃描目標。

註：必須為使用者指派適當的角色，使用者才能執行 SCA 掃描。如果您不確定您的使用者角色是否具有適當權限，請洽詢您組織的 AppScan 360° 管理員。

建立應用程式。
決定您要使用哪個機制來準備檔案以進行掃描，並根據此機制進行設定：
- Static Analyzer 指令行公用程式
- AppScan Go!
- 支援的外掛程式
使用您偏好的方法產生 IRX。
建立並配置掃描。
檢視掃描喜好設定。
執行掃描。
檢視結果。
分類並補救問題。
視需要重複第三至第八步驟。

最佳作法

遵循這些最佳作法，您就能在專案的開放原始碼元件中，最佳化您辨識及緩解漏洞的成效：

對於使用套件管理程式的專案，SCA 可以建構詳細的相依性樹狀結構，顯示直接與間接的相依關係深入資訊。掃描套件管理程式配置檔，會比僅掃描原始檔案的結果準確，因為在專案使用套件管理程式建置之後，大部分的相依關係才會經過解析。
註：從掃描配置檔所得到的套件位置，會指向配置檔本身而非程式庫實際的位置。
當僅有套件管理檔案存在時（無鎖定檔），AppScan CLI 會嘗試使用可用的本端建置工具來建置專案，以確保解析所有相依關係。自行建置自己的專案一律是較佳的做法。
如果偵測不到任何配置檔和鎖定檔，SCA 會預設使用最佳掃描，取每個檔案的雜湊並將其與已知資料來源比對，以使用個別原始檔。