跳转到主要内容
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
HCL AppScan on Cloud 說明
  1. Home icon
  2. Welcome
  3. 靜態分析

    使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。

  4. 掃描是否有安全漏洞

    如果要掃描原始碼是否有安全漏洞,請遵循這些主題中的步驟。

  5. 靜態分析整合
Product logo

  • 開始使用

    歡迎使用 HCL AppScan on Cloud 說明文件,您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。

  • 導覽

    本節說明主 AppScan on Cloud 功能表列上的項目,以及更詳細資訊的連結。

  • 管理

    定義使用者、應用程式、原則與配置 DevOps 整合。

  • 動態分析

    AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境,則會借助「專用網站掃描」技術的輔助,掃描無法透過開放網際網路存取的應用程式。

  • 互動式監視

    使用應用程式上安裝的代理程式,藉由監視所有合法與惡意的互動,ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」,意即 IAST 不會傳送自己的測試,因此可無限期執行。

  • 軟體組成分析

    使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。

  • 靜態分析

    使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。

    • 關於靜態分析 (SAST)
    • 靜態分析的系統需求

      支援的作業系統,以及當您執行靜態分析時,ASoC 可掃描的檔案類型、位置和專案。

    • 掃描是否有安全漏洞

      如果要掃描原始碼是否有安全漏洞,請遵循這些主題中的步驟。

      • 進行掃描配置: AppScan on Cloud

        配置靜態分析掃描。

      • 使用 AppScan Go! 配置掃描

        AppScan Go! 會逐步引導您設定和執行靜態掃描。請在雲端中執行掃描,或使用外掛程式來自動執行掃描。

      • 使用指令行介面 (CLI) 產生 IRX 檔案

        如果要起始檔案的分析,您必須產生要提交以進行掃描的 IRX 檔案。若要使用 CLI 產生 IRX 檔案,請遵循以下指示。

      • 使用外掛程式或 IDE 產生 IRX 檔案
      • 關於軟體組成分析

        軟體組成分析 (SCA) 會辨識並檢查代碼庫中的開放原始碼套件,以偵測潛在的安全漏洞。SCA 可以分析個別的原始碼檔案及套件管理程式構件,例如配置檔和鎖定檔,以判斷專案所依存的開放原始碼套件。

      • 靜態分析整合
        • CodeSweep Github 動作

          HCL AppScan CodeSweep for GitHub 動作可讓您在每一個提取要求中檢查程式碼。此動作會在每次更新時識別已變更程式碼中的漏洞。不過 HCL AppScan CodeSweep for GitHub 延伸功能不僅能辨識問題,還能在問題進入主要分支之前,告知您緩解問題所需的知識。

        • ASoC 以及 GitLab

          將 AppScan on Cloud 與 GitLab 搭配使用,在每個合併要求上,對儲存庫中的檔案執行靜態分析安全測試 (SAST),進而防止漏洞到達主要分支。結果會儲存在 AppScan on Cloud 中。

        • SAST GitHub 動作

          AppScan SAST Github 動作可讓您對儲存庫中的檔案執行靜態分析安全測試 (SAST)。SAST 掃描會識別程式碼中的安全漏洞,並將結果儲存在 AppScan on Cloud。

      • 提交 HCL AppScan Source 評量至 Cloud 進行分析

        如果您有 HCL AppScan on Cloud 訂閱,您可以提交 AppScan Source 評量以進行分析。支援 AppScan Source 9.0 版或更新版本的評量。您可以提交的掃描數量取決於您的 ASoC 訂閱。

      • Java 掃描的最佳實務
      • 靜態分析掃描結果

        SAST 掃描引擎會使用 AI 和輔助技術來改善偵測準確度並簡化結果分析。

    • 範例應用程式與 Script

      使用範例應用程式練習搭配 ASoC 一起掃描。

    • 靜態分析疑難排解

      如果您遇到靜態分析方面的問題,可以執行這些疑難排解工作,以判斷要採取的更正動作。

  • 結果

    「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描,您可在其中檢視掃描結果,包括掃描統計資料。若要檢視、重新掃描或下載報告,請選擇一個掃描。

  • 疑難排解

    如果您遇到此服務方面的問題,可以執行這些疑難排解工作來判定要採取的更正動作。

  • 常見問題和參照

    常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊,以及 ASoC API 說明文件。

 Feedback

靜態分析整合

HCL AppScan on Cloud 已開發多項整合與延伸功能,進一步強化安全測試。如需整合的完整清單,請參閱整合。
  • CodeSweep GitHub 動作
  • GitLab
  • SAST GitHub 動作
  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences