Welcome
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
次でのオープン・ソース・スキャンの構成: AppScan on Cloud
プロアクティブモニタリング
ソフトウェアコンポジション分析 (SCA) スキャンでは、新たに発行された CVE の有無を継続的に監視できます。プロアクティブスキャンは、新しいスキャンと既存のスキャンに適用できます。プロアクティブモニタリングが有効になっている場合 AppScan on Cloud は 24 時間ごとに新しい脆弱性を確認します。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- ソフトウェア・コンポジション分析について
  ソフトウェア・コンポジション分析 (SCA) は、コードベース内のオープン・ソース・パッケージを特定して調査し、潜在的なセキュリティーの脆弱性を検出します。SCA は、個々のソース・コード・ファイルと、構成ファイルやロックファイルなどのパッケージ・マネージャーのアーティファクトの両方を分析することによって、プロジェクトが依存するオープン・ソース・パッケージを決定できます。
- SCA に対するシステム要件
  オープン・ソース・テストを実行する場合に、ASoC でスキャン可能なファイルのタイプ。
- ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
  オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
  - 次でのオープン・ソース・スキャンの構成: AppScan on Cloud
    - スキャン状況
    - プロアクティブモニタリング
      ソフトウェアコンポジション分析 (SCA) スキャンでは、新たに発行された CVE の有無を継続的に監視できます。プロアクティブスキャンは、新しいスキャンと既存のスキャンに適用できます。プロアクティブモニタリングが有効になっている場合 AppScan on Cloud は 24 時間ごとに新しい脆弱性を確認します。
    - 個人スキャン
      個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
  - AppScan Go! を使用したスキャンの構成
    AppScan Go! は、静的スキャンの設定と実行を手順を説明します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。
  - コマンド行インターフェース (CLI) を使用した IRX ファイルの生成
    ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。
  - プラグインまたは IDE を使用した IRX ファイルの生成
  - ソフトウェア部品表 (SBOM) レポートを使用した IRX ファイルの生成
    REST API を使用して SPDX 2.3 形式のソフトウェア部品表 (SBOM) レポートから IRX ファイルを作成します。
  - ランタイム・ソフトウェア・コンポジション分析について
    ランタイムにアプリケーションで使用されるオープン・ソース・コンポーネントとライブラリーの脆弱性を特定し、管理します。
- SCA スキャン結果
  SCA スキャン結果で使用できる機能。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
AppScan モデルコンテキスト・プロトコル (MCP) サーバー
AppScan MCP サーバーは、HCL AppScan on Cloud を、AI で動作する開発環境およびエージェントと直接統合します。モデルコンテキスト・プロトコル (MCP) を実装することで、LLM (Claude や VS Code で実行されるモデルなど) が SAST、DAST、SCA、および IAST の結果などのセキュリティーデータに安全にアクセスできるようになり、問題のトリアージ、調査結果の分析、自然言語を使用したワークフローの自動化に役立ちます。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

プロアクティブモニタリング

ソフトウェアコンポジション分析 (SCA) スキャンでは、新たに発行された CVE の有無を継続的に監視できます。プロアクティブスキャンは、新しいスキャンと既存のスキャンに適用できます。プロアクティブモニタリングが有効になっている場合 AppScan on Cloud は 24 時間ごとに新しい脆弱性を確認します。

SCA ソースには、最も一般的なセキュリティー脆弱性データベース (NVD、Github アドバイザリー、Microsoft MSRC)、広範にわたるあまり知られていないセキュリティー・アドバイザリーとオープン・ソース・プロジェクト問題追跡ツールが含まれます。SCA は毎日更新されます。これらの定期的な更新は、既存のスキャンだけでなく、新しいスキャンにも適用できます。SCA データベースアップデートにリストされている脆弱性の既存のスキャンを監視しても、サブスクリプションにはカウントされません。

プロアクティブモニタリングは、スキャンウィザードを使用して SCA スキャンを構成すると、デフォルトで有効になります。

新しいスキャンにプロアクティブモニタリングを適用しない場合は、「スキャン」オプションの下のオプションを切り替えます。

既存のスキャンに対するプロアクティブモニタリングを有効または無効にするには、以下の手順に従ってください。

次のいずれかの操作を実行します。
1. 「スキャンおよびセッション」から、省略記号 () アイコンを右クリックし、「プロアクティブモニタリング」を選択します。
2. スキャンの単一スキャンビューから、「スキャンの管理」 > 「プロアクティブモニタリング」を選択します。
「プロアクティブモニタリング」ダイアログで、切り替えを使用してモニタリングを有効または無効にします。
「適用」をクリックします。

単一スキャンビューの「プロアクティブモニタリング」タイルには、スキャンの問題が最後に作成または更新されたときの情報が表示されます。