Welcome
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
ソフトウェア部品表 (SBOM) レポートを使用した IRX ファイルの生成
REST API を使用して SPDX 2.3 形式のソフトウェア部品表 (SBOM) レポートから IRX ファイルを作成します。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- ソフトウェア・コンポジション分析について
  ソフトウェア・コンポジション分析 (SCA) は、コードベース内のオープン・ソース・パッケージを特定して調査し、潜在的なセキュリティーの脆弱性を検出します。SCA は、個々のソース・コード・ファイルと、構成ファイルやロックファイルなどのパッケージ・マネージャーのアーティファクトの両方を分析することによって、プロジェクトが依存するオープン・ソース・パッケージを決定できます。
- SCA に対するシステム要件
  オープン・ソース・テストを実行する場合に、ASoC でスキャン可能なファイルのタイプ。
- ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
  オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
  - 次でのオープン・ソース・スキャンの構成: AppScan on Cloud
  - AppScan Go! を使用したスキャンの構成
    AppScan Go! は、静的スキャンの設定と実行を手順を説明します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。
  - コマンド行インターフェース (CLI) を使用した IRX ファイルの生成
    ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。
  - プラグインまたは IDE を使用した IRX ファイルの生成
  - ソフトウェア部品表 (SBOM) レポートを使用した IRX ファイルの生成
    REST API を使用して SPDX 2.3 形式のソフトウェア部品表 (SBOM) レポートから IRX ファイルを作成します。
  - ランタイム・ソフトウェア・コンポジション分析について
    ランタイムにアプリケーションで使用されるオープン・ソース・コンポーネントとライブラリーの脆弱性を特定し、管理します。
- SCA スキャン結果
  SCA スキャン結果で使用できる機能。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

ソフトウェア部品表 (SBOM) レポートを使用した IRX ファイルの生成

REST API を使用して SPDX 2.3 形式のソフトウェア部品表 (SBOM) レポートから IRX ファイルを作成します。

始める前に

SBOM レポートが SPDX 2.3 の検証に合格し、次のフィールドを含んでいることを確認します。

以下を含む packages
- checksum
- packageComment
  テクノロジーを指定する必要があります。
  - パラメーター: TechnologyType
  - 使用可能な値: Unknown, DotNet, Java, NodeJS, JavaScript, Python, Go, Debian, Php, CppC, Alpine, Ubuntu, SecondDebian
- versionInfo
relationships (配列)

このタスクについて

SBOM レポートから IRX ファイルを作成し、AppScan on Cloud にアップロードするには、REST API を使用します。

注: 詳しくは、以下を参照してください REST API

手順

REST API の FileUpload 関数を使用して、SBOM レポートをアップロードします。
REST API の Scans_CreateScaScan 関数を使用してスキャンを作成します。