ホーム
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析のシステム要件
サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。
静的分析の言語サポート
静的分析を実行する場合に ASoC でスキャン可能なファイルのタイプ
静的分析の秘密のスキャン

作業の開始
HCL AppScan on Cloud の資料にようこそ。この資料では、このサービスのインストール、保守、使用に関する情報を参照できます。
ナビゲーション
このセクションでは、AppScan on Cloud のメイン・メニュー・バーの項目と、詳細情報へのリンクについて説明します。
管理
ユーザー、アプリケーション、ポリシーを定義し、DevOps 統合を構成します。
動的分析
AppScan on Cloud は、実稼働環境、ステージング環境、開発環境の Web アプリケーションのセキュリティー・スキャンを実行します。開発環境では、プライベート・サイトのスキャン・テクノロジーの助けを借りて、オープンなインターネットからはアクセスできないアプリケーションをスキャンします。
インタラクティブ監視
ASoC は、アプリケーションにインストールされたエージェントを使用して、正当な対話と悪意のある対話の両方をすべて監視することにより、実行時にアプリケーション内のセキュリティーの脆弱性を特定します。IAST は独自のテストを送信しないので、プロセスは「パッシブ」であり、そのため無期限に実行できます。
ソフトウェア・コンポジション分析
ソフトウェア・コンポジション分析 (SCA) を使用して、コードで使用されるオープン・ソースおよびサードパーティ・パッケージのセキュリティー上の脆弱性をスキャンします。SCA には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
静的分析
静的分析 (SAST) を使用して、Web アプリケーションやデスクトップ・アプリケーションのセキュリティーの脆弱性をスキャンします。静的分析には、Intelligent Finding Analytics (IFA) と Intelligent Code Analytics (ICA) が含まれます。
- 静的分析 (SAST) について
- 静的分析のシステム要件
  サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、場所、プロジェクト。
  - 静的分析の言語サポート
    静的分析を実行する場合に ASoC でスキャン可能なファイルのタイプ
    - 静的分析の秘密のスキャン
  - 静的分析クライアントのサポート
    サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるプロジェクト。
  - 米国政府の規制の準拠
    米国政府のセキュリティーおよび情報技術に関する規制を順守することは、販売の障害をなくすことにつながります。また、これにより HCL が自社製品を業界内で最もセキュアなものにするべく取り組んでいるということを、世界中の見込み客に実証することができます。Static Analyzer コマンド行ユーティリティーには、このトピックで説明されている基準やガイドラインを取り入れています。ユーティリティーを準拠するよう構成する方法については、HCL サポート担当員にお問い合わせください。
- セキュリティーの脆弱性のスキャン
  セキュリティーの脆弱性がないかソース・コードをスキャンするには、これらのトピックで説明する手順に従ってください。
- サンプル・アプリとスクリプト
  以下のサンプル・アプリケーションを使用して、ASoC によるスキャンをお試しください。
- 静的分析のトラブルシューティング
  静的分析に関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
結果
[スキャンとセッション] ページには、DAST、SAST、SCA、および IAST カテゴリーの下にスキャンが一覧表示され、スキャン統計を含むスキャン結果を確認できます。レポートを表示、再スキャン、またはダウンロードするには、スキャンを選択します。
トラブルシューティング
サービスに関する問題が発生した場合、以下のトラブルシューティング・タスクを実行して、行うべき是正処置を決定することができます。
よくある質問および参照
よくある質問、製品ライフサイクル (SDLC) への ASoC の統合に関する情報、および ASoC API 資料。

静的分析の秘密のスキャン

秘密のスキャンはデフォルトで無効になっています。秘密のスキャンを有効にするには、オプション -es, --enableSecrets または -so, --secretsOnly を、appscan prepare または appscan.sh prepare とともに使用します。

AppScan on Cloud は、以下のプラットフォームおよびプロバイダーの秘密のスキャンをサポートします。


プロバイダー/プラットフォーム	シークレット
Alibaba Cloud	`alibaba_cloud_access_key_id`
Alibaba Cloud	`alibaba_cloud_access_key_secret`
AWS	`aws_access_key_id`
AWS	`aws_secret_access_key`
AWS	`aws_session_token`
Atlassian	`atlassian_api_token`
Atlassian	`atlassian_jwt`
アズール	`azure_cosmosdb_key_identifiable`
アズール	Azure CosmosDB 接続文字列
アズール	`azure_devops_personal_access_token`
アズール	`azure_sas_token`
アズール	`azure_search_admin/query_key`
アズール	`azure_sql_connection_string`
アズール	`azure_storage_account_key`
アズール	Azure ストレージ・アカウント接続文字列
DataBricks	`databricks_access_token`
GitHub	`github_oauth_access_toke`n
GitHub	`github_personal_access_token`
GitHub	`github_refresh_token`
Google Cloud	`google_api_key`
Google Cloud	`google_cloud_private_key_id`
Open AI	`openai_api_key`
Stripe	`stripe_live_restricted_key`
Stripe	`stripe_live_secret_key`
Stripe	`stripe_test_restricted_key`
Stripe	`stripe_test_secret_key`
mongodb	API 認証
mongodb	接続 URL
Jenkins	Jenkins パスワード/パスフレーズ
クレジット・カード番号	クレジット・カード番号
社会保障番号 (SSN)	社会保障番号