Welcome
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
Configurer un examen Open Source dans AppScan on Cloud
Surveillance proactive
Les analyses de la composition logicielle (SCA) peuvent être surveillées en permanence pour détecter la présence de CVE qui viennent d'être publiés. L'analyse proactive peut être appliquée aux nouveaux examens et aux examens existants. Lorsque la surveillance proactive est activée, AppScan on Cloud vérifie les nouvelles vulnérabilités toutes les 24 heures.

Initiation
Bienvenue dans la documentation HCL AppScan on Cloud, dans laquelle vous trouverez des informations sur l'installation, l'entretien et l'utilisation de ce service.
Navigation
Cette section décrit les éléments de la barre de menus AppScan on Cloud principale et fournit des liens vers des informations plus détaillées.
Administration
Définissez les utilisateurs, les applications, les stratégies et configurez les intégrations DevOps.
Analyse dynamique
AppScan on Cloud effectue des examens de sécurité d'applications Web pour les environnements de production, de transfert et de développement. Pour les environnements de développement, cette solution s'accompagne d'une technologie d'examen de site privé pour analyser les applications non accessibles via l'Internet ouvert.
Surveillance interactive
A l'aide d'un agent installé sur votre application, ASoC identifie les vulnérabilités de sécurité de votre application lors de l'exécution, en surveillant toutes les interactions, qu'elles soient légitimes ou malveillantes. Il s'agit d'un processus « passif » en ce sens qu'ISAT n'envoie pas ses propres tests et peut donc s'exécuter indéfiniment.
Analyse de la composition du logiciel
Utilisez l'analyse de la composition du logiciel (SCA) pour localiser les vulnérabilités de sécurité dans les packages Open Source et tiers utilisés par votre code. La SCA inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
- À propos de l'analyse de la composition du logiciel
  L'analyse de la composition logicielle (SCA) identifie et examine les packages Open Source au sein de votre base de code afin de détecter les vulnérabilités de sécurité potentielles. SCA peut analyser à la fois les fichiers de code source individuels et les artefacts du gestionnaire de packages, tels que les fichiers de configuration et les fichiers de verrouillage, afin de déterminer les packages Open Source dont dépend votre projet.
- Configuration système requise pour SCA
  Les types de fichiers qu'ASoC est capable d'examiner lorsque vous réalisez un test Open Source.
- Analyse des bibliothèques et du code tiers pour détecter les failles de sécurité
  Pour analyser les bibliothèques Open Source et le code tiers à la recherche de failles de sécurité, suivez les étapes décrites dans ces rubriques.
  - Configurer un examen Open Source dans AppScan on Cloud
    - Statut de l'examen
    - Surveillance proactive
      Les analyses de la composition logicielle (SCA) peuvent être surveillées en permanence pour détecter la présence de CVE qui viennent d'être publiés. L'analyse proactive peut être appliquée aux nouveaux examens et aux examens existants. Lorsque la surveillance proactive est activée, AppScan on Cloud vérifie les nouvelles vulnérabilités toutes les 24 heures.
    - Examens personnels
      Un examen personnel est une manière d'évaluer la sécurité relative d'une application en développement sans affecter les données d'examen de l'application globale (problèmes, par exemple), ou la conformité.
  - Configuration d'un examen à l'aide d'AppScan Go!
    AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Exécutez l'examen dans le cloud ou utilisez un plug-in pour l'automatiser.
  - Génération d'un fichier IRX à l'aide de l'interface de ligne de commande
    Pour lancer une analyse de vos fichiers, vous devez générer un fichier IRX à envoyer pour examen. Pour générer le fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions ci-dessous.
  - Génération d'un fichier IRX à l'aide d'un plug-in ou d'un IDE
  - Génération d'un fichier IRX à l'aide d'un rapport de nomenclature logicielle (SBOM)
    Utilisez l'API REST pour créer un fichier IRX à partir d'un rapport SBOM au format SPDX 2.3.
  - Runtime SCA (Software Composition Analysis)
    Identifiez et gérez les vulnérabilités dans les composants et bibliothèques Open Source utilisés par une application au moment de l'exécution.
- Résultats de l'examen SCA
  Fonctions disponibles dans les résultats des examens d'analyse SCA.
Analyse statique
Utilisez l'analyse statique (SAST) pour rechercher les vulnérabilités de sécurité dans les applications Web et dans les applications de bureau. L'analyse statique inclut les technologies IFA (analyse de résultats intelligente) et ICA (analyse de code intelligente).
Résultats
La page Examens et sessions répertorie les examens sous les catégories DAST, SAST, SCA et IAST, où vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examen. Pour afficher, réexaminer ou télécharger des rapports, sélectionnez un examen.La page Examens et sessions répertorie les examens sous les catégories desquelles vous pouvez afficher les résultats de vos examens, y compris les statistiques d'examens. Pour afficher, examiner à nouveau ou télécharger des rapports, sélectionnez un examen.
Serveur Model Context Protocol (MCP) AppScan
Le serveur MCP AppScan intègre HCL AppScan on Cloud directement aux agents et environnements de développement basés sur l'IA. En implémentant le protocole MCP (Model Context Protocol), ce serveur permet aux LLM (tels que Claude ou les modèles s'exécutant dans le code VS) d'accéder en toute sécurité à vos données de sécurité, y compris les résultats SAST, DAST, SCA et IAST, afin de vous aider à trier les problèmes, à analyser les résultats et à automatiser les flux de travaux en langage naturel.
Résolution des incidents
Si vous rencontrez des problèmes avec ce service, vous pouvez effectuer ces tâches d'identification et de résolution des incidents afin de déterminer la mesure corrective à prendre.
Foire aux questions et référence
Foire aux questions, informations sur l'intégration d'ASoC au cycle de vie du produit (SDLC) et documentation sur l'API ASoC.

Surveillance proactive

Les analyses de la composition logicielle (SCA) peuvent être surveillées en permanence pour détecter la présence de CVE qui viennent d'être publiés. L'analyse proactive peut être appliquée aux nouveaux examens et aux examens existants. Lorsque la surveillance proactive est activée, AppScan on Cloud vérifie les nouvelles vulnérabilités toutes les 24 heures.

Les sources SCA incluent les bases de données de vulnérabilité de sécurité les plus courantes (NVD, Github advisory, Microsoft MSRC), ainsi qu'un large éventail d'avis de sécurité moins connus et de dispositifs de suivi des problèmes de projet open source. La SCA est mis à jour quotidiennement. Ces mises à jour régulières peuvent être appliquées aux examens existants ainsi qu'aux nouveaux examens. La surveillance des examens existants pour détecter les vulnérabilités répertoriées dans les mises à jour de la base de données SCA n'est pas prise en compte dans votre abonnement.

La surveillance proactive est activée par défaut lorsque vous configurez une analyse SCA à l'aide de l'assistant d'examen.

Si vous ne souhaitez pas appliquer la surveillance proactive à un nouvel examen, activez l'option sous Options d'examen.

Pour activer ou désactiver la surveillance proactive des examens existants :

Exécutez l'une des opérations suivantes :
1. Dans l'onglet Examens et sessions, cliquez avec le bouton droit de la souris sur l'icône des points de suspension () d'une entrée d'examen et sélectionnez Surveillance proactive.
2. Dans Vue d'examen unique d'un examen, sélectionnez Gérer l'examen > Surveillance proactive.
Dans la boîte de dialogue de surveillance proactive, activez ou désactivez la surveillance en utilisant le bouton bascule.
Cliquez sur Appliquer.

La vignette Surveillance proactive de Vue d'examen unique indique la dernière fois que la surveillance a créé ou mis à jour un problème pour votre examen.