ホーム
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析 (SAST) について
SAST ワークフロー
静的分析スキャンの手順の概要。

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- 静的分析 (SAST) について
  - SAST ワークフロー
    静的分析スキャンの手順の概要。
  - 静的分析の最近の更新
    AppScan on Cloud サービスに最近追加された静的分析機能を確認してください。
  - ルールの更新
    ASoC の最近のルール更新
- 静的分析のシステム要件
  サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。
- セキュリティーの脆弱性のスキャン
  セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
- サンプル・アプリとスクリプト
  以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
- 静的分析のトラブルシューティング
  静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

SAST ワークフロー

静的分析スキャンの手順の概要。

静的分析を実行するための一般的な手順は、次のとおりです。スキャン目標の達成のためには、追加の手順が必要になる場合があります。

注: ユーザーには、静的分析機能を実行するための適切なロールを割り当てる必要があります。ユーザー・ロールに適切な権限があるかどうか不明な場合は、組織の ASoC 管理者に問い合わせてください。

アプリケーションを作成します。
スキャン用のファイルの準備に使用するメカニズムを決定し、それを適宜次のようにセットアップします。
- Static Analyzer コマンド行ユーティリティー
- AppScan Go!
- サポートされるプラグイン
- ソース・コード・ファイルを特定します。
スキャンを作成して設定します。
スキャンのプリファレンスを確認します。
スキャンを実行します。
結果をレビューします。
問題をトリアージして修復します。
必要に応じて、手順 3 から 8 を繰り返します。