跳转到主要内容
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
HCL AppScan on Cloud 說明
  1. Home icon
  2. Welcome
  3. 軟體組成分析

    使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。

  4. 掃描程式庫及第三方代碼以確認安全漏洞

    若要掃描開放原始碼程式庫及第三方代碼以找出安全漏洞,請遵循這些主題中的步驟。

  5. 使用指令行介面 (CLI) 產生 IRX 檔案

    如果要起始檔案的分析,您必須產生要提交以進行掃描的 IRX 檔案。若要使用 CLI 產生 IRX 檔案,請遵循以下指示。

  6. CLI 指令參考資料 (Windows)

    使用您下載並解壓縮到本端磁碟的小型用戶端指令行介面 (CLI) 來執行靜態分析的 Windows 特定指令。

Product logo

  • 開始使用

    歡迎使用 HCL AppScan on Cloud 說明文件,您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。

  • 導覽

    本節說明主 AppScan on Cloud 功能表列上的項目,以及更詳細資訊的連結。

  • 管理

    定義使用者、應用程式、原則與配置 DevOps 整合。

  • 動態分析

    AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境,則會借助「專用網站掃描」技術的輔助,掃描無法透過開放網際網路存取的應用程式。

  • 互動式監視

    使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。

  • 軟體組成分析

    使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。

    • 關於軟體組成分析

      軟體組成分析 (SCA) 會辨識並檢查代碼庫中的開放原始碼套件,以偵測潛在的安全漏洞。SCA 可以分析個別的原始碼檔案及套件管理程式構件,例如配置檔和鎖定檔,以判斷專案所依存的開放原始碼套件。

    • SCA 系統需求

      當您執行開放原始碼測試時,ASoC 可掃描的檔案類型。

    • 掃描程式庫及第三方代碼以確認安全漏洞

      若要掃描開放原始碼程式庫及第三方代碼以找出安全漏洞,請遵循這些主題中的步驟。

      • 配置開放原始碼掃描的位置: AppScan on Cloud

      • 使用 AppScan Go! 配置掃描

        AppScan Go! 會逐步引導您設定和執行靜態掃描。請在雲端中執行掃描,或使用外掛程式來自動執行掃描。

      • 使用指令行介面 (CLI) 產生 IRX 檔案

        如果要起始檔案的分析,您必須產生要提交以進行掃描的 IRX 檔案。若要使用 CLI 產生 IRX 檔案,請遵循以下指示。

        • 設定 Static Analyzer 指令行公用程式 以搭配 SCA 使用

          如果是軟體組成分析,請下載小型的 指令行公用程式。當您將公用程式解壓縮到本端磁碟時,可以使用其指令行介面 (CLI) 來執行安全分析。

        • 使用 CLI 配置 IRX 檔案產生

          請使用配置檔進行 IRX 檔案產生,在其中,您可以指定個別目標,或者包括或排除目標。此外,還可以使用配置檔來指定可協助產生完整 IRX 檔案的其他資訊。

        • CLI 指令參考資料 (Windows)

          使用您下載並解壓縮到本端磁碟的小型用戶端指令行介面 (CLI) 來執行靜態分析的 Windows 特定指令。

          • 分析指令

            分析指令用於提交掃描要求以進行分析,或者用於處理已提交的掃描要求。使用這些指令,您也可以接收掃描的相關資訊。此資訊可用於自動化 Script。

          • 鑑別指令

            使用鑑別指令來登入 ASoC 服務。

          • 配置指令

            使用配置指令來準備檔案以進行掃描。

          • 全域指令

            使用全域指令來顯示 CLI 說明和 Static Analyzer 指令行公用程式 版本資訊。

          • 指令說明

            使用用於擷取可用指令清單或擷取個別指令相關資訊的指令help。

          • 報告與日誌指令

            使用報告指令來產生掃描日誌與報告。

          • 結果指令

            使用結果指令來擷取分析服務中的掃描結果。

        • CLI 指令參考資料(Linux 和 macOS)

          使用您下載並解壓縮到本端磁碟的小型用戶端指令行介面 (CLI) 來執行靜態分析的 Linux 特定指令。

      • 使用外掛程式或 IDE 產生 IRX 檔案
      • 使用軟體物料清單 (SBOM) 報告產生 IRX 檔案

        使用 REST API,以 SPDX 2.3 格式從軟體物料清單 (SBOM) 報告建立 IRX 檔案。

      • 執行時期軟體組成分析

        可辨識及管理應用程式在執行時期所使用之開放原始碼元件和程式庫的漏洞。

    • SCA 掃描結果

      SCA 掃描結果中可用的功能。

  • 靜態分析

    使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。

  • 結果

    「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。

  • 疑難排解

    如果您遇到此服務方面的問題,可以執行這些疑難排解工作來判定要採取的更正動作。

  • 常見問題和參照

    常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊,以及 ASoC API 說明文件。

 Feedback

CLI 指令參考資料 (Windows™)

使用您下載並解壓縮到本端磁碟的小型用戶端指令行介面 (CLI) 來執行靜態分析的 Windows 特定指令。

  • 指令說明
  • 全域指令
  • 分析指令
  • 配置指令
  • 鑑別指令
  • 結果指令
  • 報告與日誌指令
註: 所有指令都必須以小寫來輸入。
  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences