メインコンテンツにジャンプ
HCL Logo Product Documentation
Customer Support Software Academy Community Forums
HCL AppScan on Cloud ヘルプ
  • 作業の開始
  • ナビゲーション
  • 管理
  • 動的分析
  • インタラクティブ監視
  • ソフトウェア・コンポジション分析
  • 静的分析
  • 結果
  • トラブルシューティング
  • よくある質問および参照
  1. ホーム
  2. 静的分析

    静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。

  3. セキュリティーの脆弱性のスキャン

    セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。

  4. 静的分析の統合
  • 作業の開始

    HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。

  • ナビゲーション

    このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。

  • 管理

    ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。

  • 動的分析

    AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。

  • インタラクティブ監視

    ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。

  • ソフトウェア・コンポジション分析

    ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。

  • 静的分析

    静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。

    • 静的分析 (SAST) について
    • 静的分析のシステム要件

      サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。

    • セキュリティーの脆弱性のスキャン

      セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。

      • 次でのスキャンの設定: AppScan on Cloud

        静的分析スキャンを設定します。

      • AppScan Go! を使用したスキャンの構成

        AppScan Go! は、静的スキャンの設定と実行を手順を説明します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。

      • コマンド行インターフェース (CLI) を使用した IRX ファイルの生成

        ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。

      • プラグインまたは IDE を使用した IRX ファイルの生成
      • ソフトウェア・コンポジション分析について

        ソフトウェア・コンポジション分析 (SCA) は、コードで使用されるオープン・ソース・パッケージおよびサードパーティー・パッケージを検索して分析します。

      • 静的分析の統合
        • CodeSweep GitHub アクション

          HCL AppScan CodeSweep for GitHub アクションを使用すると、プル要求ごとにコードをチェックできます。このアクションは、更新ごとに変更されたコードの脆弱性を特定します。しかし、問題を特定するだけでなく、HCL AppScan CodeSweep for GitHub 拡張機能によって、問題をメイン分岐に移行する前に、問題を軽減するために知っておくべき情報が提供されます。

        • ASoC および GitLab

          .AppScan on Cloud を GitLab と併用すると、マージ要求ごとにリポジトリー内のファイルに対して静的分析セキュリティー・テスト (SAST) を実行し、脆弱性がメイン分岐に達するのを防ぐことができます。結果は AppScan on Cloud に保存されます。

        • SAST GitHub アクション

          AppScan SAST Github アクションを使用すると、リポジトリー内のファイルに対して静的分析セキュリティー・テスト (SAST) を実行できます。SAST スキャンでは、コード内のセキュリティーの脆弱性を特定し、結果を AppScan on Cloud に保存します。

      • 分析のためのクラウドへの HCL AppScan Source 評価の送信

        HCL AppScan on Cloud のサブスクリプションを所有している場合は、分析のために AppScan Source 評価結果をそこに送信できます。AppScan Source バージョン 9.0 以上からの評価がサポートされています。送信できるスキャンの数は、ASoC サブスクリプションによって異なります。

      • Java スキャンのベスト・プラクティス
      • 静的分析スキャンの結果

        静的分析スキャン結果で使用できる機能。

    • サンプル・アプリとスクリプト

      以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。

    • 静的分析のトラブルシューティング

      静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。

  • 結果

    [スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。

  • トラブルシューティング

    サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。

  • よくある質問および参照

    よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

静的分析の統合

HCL AppScan on Cloud には、セキュリティー・テストをさらに強化するための多数の統合および拡張機能が開発されています。統合の全リストについては、「統合」を参照してください。
  • CodeSweep GitHub アクション
  • GitLab
  • SAST GitHub アクション
  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences