Welcome
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
掃描是否有安全漏洞
如果要掃描原始碼是否有安全漏洞，請遵循這些主題中的步驟。
靜態分析掃描結果
SAST 掃描引擎會使用 AI 和輔助技術來改善偵測準確度並簡化結果分析。

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
- 關於靜態分析 (SAST)
- 靜態分析的系統需求
  支援的作業系統，以及當您執行靜態分析時，ASoC 可掃描的檔案類型、位置和專案。
- 掃描是否有安全漏洞
  如果要掃描原始碼是否有安全漏洞，請遵循這些主題中的步驟。
  - 進行掃描配置： AppScan on Cloud
    配置靜態分析掃描。
  - 使用 AppScan Go! 配置掃描
    AppScan Go! 會逐步引導您設定和執行靜態掃描。請在雲端中執行掃描，或使用外掛程式來自動執行掃描。
  - 使用指令行介面 (CLI) 產生 IRX 檔案
    如果要起始檔案的分析，您必須產生要提交以進行掃描的 IRX 檔案。若要使用 CLI 產生 IRX 檔案，請遵循以下指示。
  - 使用外掛程式或 IDE 產生 IRX 檔案
  - 關於軟體組成分析
    軟體組成分析 (SCA) 會辨識並檢查代碼庫中的開放原始碼套件，以偵測潛在的安全漏洞。SCA 可以分析個別的原始碼檔案及套件管理程式構件，例如配置檔和鎖定檔，以判斷專案所依存的開放原始碼套件。
  - 靜態分析整合
  - 提交 HCL AppScan Source 評量至 Cloud 進行分析
    如果您有 HCL AppScan on Cloud 訂閱，您可以提交 AppScan Source 評量以進行分析。支援 AppScan Source 9.0 版或更新版本的評量。您可以提交的掃描數量取決於您的 ASoC 訂閱。
  - Java 掃描的最佳實務
  - 靜態分析掃描結果
    SAST 掃描引擎會使用 AI 和輔助技術來改善偵測準確度並簡化結果分析。
    - 範例追蹤結果
      下列範例追蹤結果顯示流經應用程式區段（具 SQL 注入漏洞）的污染資料流程。
    - 修正群組
      「修正程式群組」目前僅套用至在「靜態分析掃描」中發現的問題。
- 範例應用程式與 Script
  使用範例應用程式練習搭配 ASoC 一起掃描。
- 靜態分析疑難排解
  如果您遇到靜態分析方面的問題，可以執行這些疑難排解工作，以判斷要採取的更正動作。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

SAST 掃描結果

SAST 掃描引擎會使用 AI 和輔助技術來改善偵測準確度並簡化結果分析。

智慧型程式碼分析 (ICA)

靜態分析掃描會套用「智慧型程式碼分析 (ICA)」。ICA 會自動探索新的應用程式設計介面 (API) 並評估其安全影響。透過 ICA，所有第三方 API 和架構都會受到檢閱，並指派正確的安全影響。這可以獲得更多完整的掃描結果。如果要進一步瞭解 ICA，請參閱這篇文章。

智慧型發現項目分析 (IFA)

「智慧型發現項目分析 (IFA)」會將發現項目做為掃描的一部分進行處理。IFA 是功能強大的 AI 式技術，除其他功能外，還可透過過濾誤判，以及識別可在單一程式碼位置修正補救的發現項目，進而為您執行許多的分類工作。如果要進一步瞭解 IFA，請參閱這篇文章。

註： ICA 會套用至 Java、C/C++ 與 .NET 的非原始碼掃描，而 IFA 會套用至 Java 與 .NET 的非原始碼掃描，以及所有 JavaScript 掃描。

修正群組

靜態分析會依修正程式群組評量清單發現項目。修正群組代表分組的發現項目最常流經的共同節點。一般而言，如果對修正程式群組實作了修正程式，則可以事半功倍、提昇效率。修正程式群組也可視為可在該處同時檢閱相關發現項目的邏輯分組點。請注意，修正程式群組不一定是應放置修正程式的確切位置。未來的重構、程式碼實務和其他因素可能無法使用修正群組位置來進行修正。

註：每一個修正程式群組針對每個漏洞類型最多顯示 100 個發現項目。