Welcome
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
セキュリティーの脆弱性のスキャン
セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
次でのスキャンの設定: AppScan on Cloud
静的分析スキャンを設定します。
GitHub リポジトリーをスキャンする
静的分析スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできます。SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。検出結果はファイル名またはパスでフィルタリングできます。 AppScan on Cloud は、スキャンごとに 1 つの GitHub リポジトリーのスキャンをサポートします。
プライベート GitHub リポジトリーのスキャン
AppScan on Cloud では、追加のセットアップなしで、先進的なクラウド・サービスを利用してパブリック GitHub リポジトリーの包括的なセキュリティー・スキャンを実行できますが、プライベート・リポジトリーをスキャンするには、HCL AppScan on Cloud GitHubアプリケーションのインストールが必要です。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- 静的分析 (SAST) について
- 静的分析のシステム要件
  サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。
- セキュリティーの脆弱性のスキャン
  セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
  - 次でのスキャンの設定: AppScan on Cloud
    静的分析スキャンを設定します。
    - GitHub リポジトリーをスキャンする
      静的分析スキャンは、パブリック GitHub リポジトリーから直接ソース・コードをプルするように設定およびスケジュールできます。SAST の検出結果をトリアージする際、ユーザーは GitHub.com 上で関連するソース・コードを直接確認できます。検出結果はファイル名またはパスでフィルタリングできます。 AppScan on Cloud は、スキャンごとに 1 つの GitHub リポジトリーのスキャンをサポートします。
      - プライベート GitHub リポジトリーのスキャン
        AppScan on Cloud では、追加のセットアップなしで、先進的なクラウド・サービスを利用してパブリック GitHub リポジトリーの包括的なセキュリティー・スキャンを実行できますが、プライベート・リポジトリーをスキャンするには、HCL AppScan on Cloud GitHubアプリケーションのインストールが必要です。
      - GitHub Enterprise サーバー上のリポジトリーをスキャンする
        AppScan Presence を使用して GitHub Enterprise リポジトリーで静的分析を直接実行できます。
      - AppScan Presence を設定して GitHub リポジトリーを直接スキャンする
        AppScan Presence を使用して、GitHub Enterprise リポジトリーで静的分析を実行できます。
    - アーカイブ・ファイルのスキャン
      アプリケーションの IRX ファイルをスキャンまたは生成するか、スキャンするソース・コード・ファイルを指定します。
    - IRX ファイルについて
      IRX ファイルについて。
    - アーカイブ・ファイルを使用したスキャン
    - スキャン・モード
      スキャン・モードでは、AppScan on Cloud が特定の言語のプロジェクト内のビルド出力 (.dll、.jar など) またはソース・コード・ファイルをスキャンするかどうかを指定します。
    - 静的分析スキャンの状況
    - 個人スキャン
      個人スキャンは、アプリケーション全体のスキャン・データ (問題など) やコンプライアンスに影響を与えることなく、開発中のアプリケーションの相対的なセキュリティーを評価する方法です。
  - AppScan Go! を使用したスキャンの構成
    AppScan Go! は、静的スキャンの設定と実行を手順を説明します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。
  - コマンド行インターフェース (CLI) を使用した IRX ファイルの生成
    ファイルの分析を開始するには、IRX ファイルを生成してスキャン用に送信する必要があります。CLI を使用して IRX ファイルを生成するには、以下の手順に従ってください。
  - プラグインまたは IDE を使用した IRX ファイルの生成
  - ソフトウェア・コンポジション分析について
    ソフトウェア・コンポジション分析 (SCA) は、コードベース内のオープン・ソース・パッケージを特定して調査し、潜在的なセキュリティーの脆弱性を検出します。SCA は、個々のソース・コード・ファイルと、構成ファイルやロックファイルなどのパッケージ・マネージャーのアーティファクトの両方を分析することによって、プロジェクトが依存するオープン・ソース・パッケージを決定できます。
  - 静的分析の統合
  - 分析のためのクラウドへの HCL AppScan Source 評価の送信
    HCL AppScan on Cloud のサブスクリプションを所有している場合は、分析のために AppScan Source 評価結果をそこに送信できます。AppScan Source バージョン 9.0 以上からの評価がサポートされています。送信できるスキャンの数は、ASoC サブスクリプションによって異なります。
  - Java スキャンのベスト・プラクティス
  - 静的分析スキャンの結果
    SAST スキャン・エンジンでは、AI および補完技術を使用して検出精度を向上させ、結果分析を効率化しています。
- サンプル・アプリとスクリプト
  以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
- 静的分析のトラブルシューティング
  静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。「スキャンとセッション」ページでは、カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

プライベート GitHub リポジトリーのスキャン

AppScan on Cloud では、追加のセットアップなしで、先進的なクラウド・サービスを利用してパブリック GitHub リポジトリーの包括的なセキュリティー・スキャンを実行できますが、プライベート・リポジトリーをスキャンするには、HCL AppScan on Cloud GitHubアプリケーションのインストールが必要です。

重要: 続行する前に、「サードパーティーの GitHub アプリのインストール」をお読みください。

HCL AppScan on Cloud GitHub アプリケーションをインストールするには:

適切な GitHub アプリの場所に接続します。
- 北米の ASoC アカウント: https://github.com/apps/hcl-appscan-on-cloud
- 西ヨーロッパの ASoC アカウント: https://github.com/apps/hcl-appscan-on-cloud-eu
GitHub にログインして、個人アカウントまたは自分が所有する組織にアプリケーションをインストールします。

注: 自分が所有者またはアプリケーション・マネージャーではない組織下にプライベート・リポジトリーがある場合は、所有者にアプリケーションを組織にインストールするよう依頼します。

HCL AppScan on Cloud GitHub アプリケーションは、パブリック・リポジトリーをスキャンするためにはインストールする必要はありません。パブリック・リポジトリーを直接スキャンするには、「スキャンの作成」ウィザードを使用します。

HCL AppScan on Cloud GitHub アプリケーションでセキュリティー・スキャンを実行するには、リポジトリーへの読み取りアクセス権が必要です。

HCL AppScan on Cloud GitHub アプリケーションは、いつでも無効化またはアンインストールできます。ただし、今後プライベート・リポジトリーを再スキャンするには、このアプリケーションを有効にするか、再インストールする必要があります。HCL AppScan on Cloud GitHub アプリケーションをアンインストールするには、GitHub の設定から「インストール済み GitHub アプリ」 > > 「アンインストール」を選択します。