ホーム
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
SCA に対するシステム要件
オープン・ソース・テストを実行する場合に、ASoC でスキャン可能なファイルのタイプ。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- ソフトウェア・コンポジション分析について
  ソフトウェア・コンポジション分析 (SCA) は、コードで使用されるオープン・ソース・パッケージおよびサードパーティー・パッケージを検索して分析します。
- SCA に対するシステム要件
  オープン・ソース・テストを実行する場合に、ASoC でスキャン可能なファイルのタイプ。
- ライブラリおよびサードパーティ・コードにおけるセキュリティ脆弱性のスキャン
  オープンソース・ライブラリおよびサードパーティ・コードでセキュリティの脆弱性をスキャンするには、次のトピックの手順に従います。
- SCA スキャン結果
  SCA スキャン結果で使用できる機能。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

SCA に対するシステム要件

オープン・ソース・テストを実行する場合に、ASoC でスキャン可能なファイルのタイプ。

言語サポート

表 1.
言語とバージョン	サポートされているソース/バイナリー・ファイルの種類	パッケージ/ビルド・マネージャーとバージョン	パッケージ/ビルド・マネージャーでサポートされている構成ファイル
.NET	`.dll` `.exe` `.lib`	.NET Framework 3.5、4.6.2、4.7.2、4.8、4.8.1 .NET 5、6、7、8	次のいずれかを推奨します。ソリューションがすでに構築されており、すべてのビルド出力が含まれている .NET CLI がインストールされており、正常に Dbuild できる
Java	`.jar`
NodeJS	`.js`
Python (バージョン 3.3 以降)	`.py`	Pip (バージョン 3.4 以降)	`setup.py` `requirements.txt`
Python (バージョン 3.3 以降)	`.py`	Poetry (全バージョン)	`poetry.toml` Poetry CLI が必要
JavaScript	`.js`	NPM (バージョン 5.0.0/2017 以降)	`package.json` `package-lock.json` または `package.json` NPM CLI が必要 `npm install` を正常に実行する機能。
GO	`.go`	Go Modules	`go.mod` `go build` を正常に実行する機能。
PHP	`.php`
C	`.c` `.cc` `.dll`
C++	`.cpp` `.hpp` `.dll`

注: 一部のパッケージ・マネージャーでは、ASoC でテストする前にプロジェクトをビルドできる必要があります。一部の依存関係は、プロジェクトがビルドされたときにのみ解決されます。