Welcome
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析的系統需求
支援的作業系統，以及當您執行靜態分析時，ASoC 可掃描的檔案類型、位置和專案。
靜態分析語言支援
當您執行靜態分析時，ASoC 可掃描的檔案類型。
靜態分析機密掃描

開始使用
歡迎使用 HCL AppScan on Cloud 說明文件，您可以在這裡找到如何安裝、維護及使用此服務的相關資訊。
導覽
本節說明主 AppScan on Cloud 功能表列上的項目，以及更詳細資訊的連結。
管理
定義使用者、應用程式、原則與配置 DevOps 整合。
動態分析
AppScan on Cloud 可對正式作業、暫置及開發環境的 Web 應用程式執行安全掃描。針對開發環境，則會借助「專用網站掃描」技術的輔助，掃描無法透過開放網際網路存取的應用程式。
互動式監視
使用應用程式上安裝的代理程式，藉由監視所有合法與惡意的互動，ASoC 可在執行時期識別應用程式中的安全性漏洞。該處理程序是「被動的」，意即 IAST 不會傳送自己的測試，因此可無限期執行。
軟體組成分析
使用軟體組合分析 (SCA) 掃描程式碼所使用之開放原始碼和第三方套件中的安全漏洞。SCA 包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
靜態分析
使用靜態分析 (SAST) 掃描網路和桌面應用程式中的安全漏洞。靜態分析包括智慧型發現項目分析 (IFA) 和智慧型程式碼分析 (ICA)。
- 關於靜態分析 (SAST)
- 靜態分析的系統需求
  支援的作業系統，以及當您執行靜態分析時，ASoC 可掃描的檔案類型、位置和專案。
  - 靜態分析語言支援
    當您執行靜態分析時，ASoC 可掃描的檔案類型。
    - 靜態分析機密掃描
  - 靜態分析用戶端支援
    支援的作業系統，以及當您執行靜態分析時，ASoC 可掃描的專案類型。
  - 遵守美國政府法規
    遵守美國政府安全和資訊技術法規，有助於消除銷售障礙和路障。另外，這也是 HCL 致力於產生業界頂尖安全產品的全球性證據。Static Analyzer 指令行公用程式支援本主題中概述的標準和準則。如果要瞭解如何配置公用程式以符合法規，請聯絡 HCL 支援代表。
- 掃描是否有安全漏洞
  如果要掃描原始碼是否有安全漏洞，請遵循這些主題中的步驟。
- 範例應用程式與 Script
  使用範例應用程式練習搭配 ASoC 一起掃描。
- 靜態分析疑難排解
  如果您遇到靜態分析方面的問題，可以執行這些疑難排解工作，以判斷要採取的更正動作。
結果
「掃描及階段作業」頁面會在種類 DAST、SAST、SCA 和 IAST 下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。「掃描及階段作業」頁面會在種類下列出掃描，您可在其中檢視掃描結果，包括掃描統計資料。若要檢視、重新掃描或下載報告，請選擇一個掃描。
疑難排解
如果您遇到此服務方面的問題，可以執行這些疑難排解工作來判定要採取的更正動作。
常見問題和參照
常見問題、將 ASoC 整合至產品生命週期 (SDLC) 的相關資訊，以及 ASoC API 說明文件。

靜態分析機密掃描

機密掃描會在組織層級啟用及停用。但是，個別掃描可以使用機密相關的 appscan prepare 或 appscan.sh prepare 選項覆寫組織層級設定：

當在組織層級啟用機密時：
- 將 -ds, --disableSecrets 與 appscan prepare 或 appscan.sh prepare 搭配使用可停用機密掃描。
- 將 -so, -secretsOnly 與 appscan prepare 或 appscan.sh prepare 搭配使用，只能在執行僅限原始碼掃描時掃描機密。
當在組織層級停用機密時：
- 將 -es, --enableSecrets 或 -so, --secretsOnly 與 appscan prepare 或 appscan.sh prepare 搭配使用可啟用機密掃描。
- 將 -so, -secretsOnly 與 appscan prepare 或 appscan.sh prepare 搭配使用，只能在執行僅限原始碼掃描時掃描機密。

AppScan on Cloud 支援掃描下列平台和提供者的機密內容：


提供者/平台	機密內容
阿里雲	`alibaba_cloud_access_key_id`
阿里雲	`alibaba_cloud_access_key_secret`
AWS	`aws_access_key_id`
AWS	`aws_secret_access_key`
AWS	`aws_session_token`
Atlassian	`atlassian_api_token`
Atlassian	`atlassian_jwt`
天藍色	`azure_cosmosdb_key_identifiable`
天藍色	Azure CosmosDB 連線字串
天藍色	`azure_devops_personal_access_token`
天藍色	`azure_sas_token`
天藍色	`azure_search_admin/query_key`
天藍色	`azure_sql_connection_string`
天藍色	`azure_storage_account_key`
天藍色	Azure 儲存體帳戶連線字串
DataBricks	`databricks_access_token`
GitHub	`github_oauth_access_toke`n
GitHub	`github_personal_access_token`
GitHub	`github_refresh_token`
Google 雲端	`google_api_key`
Google 雲端	`google_cloud_private_key_id`
Hashicorp	硬式編碼的 `HashiCorpVault` 記號
Hasicorp	AppRole 驗證（`RoleID` 及 `SecretID`）格式
開放式 AI	`openai_api_key`
Stripe	`stripe_live_restricted_key`
Stripe	`stripe_live_secret_key`
Stripe	`stripe_test_restricted_key`
Stripe	`stripe_test_secret_key`
mongodb	API 鑑別
mongodb	連線 URL
Jenkins	Jenkins 密碼/通行詞組
信用卡號碼	信用卡號碼
社會保險號碼 (SSN)	社會保險號碼