Welcome
扫描
本部分说明如何在 HCL® AppScan® Source 中扫描源代码和管理评估。
扫描工作空间、项目和文件
您可以扫描 Eclipse 工作空间、项目或文件。这包括扫描 Java™（包括 Android）、JavaServer Pages (JSP) 项目。
扫描集成
HCL® AppScan® Source 允许与容器化技术集成，并使用容器进行扫描自动化。
使用 Podman 映像创建容器
无需手动干预即可扫描

欢迎
欢迎阅读 HCL® AppScan® Source 文档。
新增功能
探索 AppScan® Source 中添加的新功能，并记下此发行版中已弃用的功能和能力。
正在安装
了解如何安装、升级和激活 HCL® AppScan® Source。
配置
了解如何在 HCL® AppScan® Source 中配置应用程序、文件夹和项目，以及设置特性和属性。
管理
了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL® AppScan® Source 中的集成。
扫描
本部分说明如何在 HCL® AppScan® Source 中扫描源代码和管理评估。
- 扫描工作空间、项目和文件
  您可以扫描 Eclipse 工作空间、项目或文件。这包括扫描 Java™（包括 Android）、JavaServer Pages (JSP) 项目。
  - 扫描注意事项
    该主题描述了可能影响您的扫描的限制和注意事项。
  - 扫描配置
    扫描配置将在启动扫描时予以使用，并且通常能产生更好的扫描结果。AppScan® Source 包含内置扫描配置，这些配置可在 server mode 或 local mode 下予以访问。此外，还可以在 AppScan Source for Analysis 中创建定制的扫描配置，并将其共享到 AppScan Enterprise Server，可以在 server mode 下从 AppScan Source for Development 访问这些配置。
  - 扫描集成
    HCL® AppScan® Source 允许与容器化技术集成，并使用容器进行扫描自动化。
    - 使用 Podman 映像创建容器
    - 使用 Jenkins 和容器配置扫描自动化
      HCL® AppScan® Source 命令行界面 (CLI) 容器可从 HCL Harbor 和我的 HCLSoftware 门户网站 (MHS) 获得，可用于使用 Jenkins 自动执行静态分析扫描，而无需安装 AppScan Source 的完整实例。
    - 使用 Azure 和容器配置扫描自动化
      HCL® AppScan® Source 命令行界面 (CLI) 容器可从 HCL Harbor 和我的 HCLSoftware 门户网站 (MHS) 获得，可用于使用 Azure 自动执行静态分析扫描，而无需安装 AppScan Source 的完整实例。
    - 使用 GitHub 操作和容器配置扫描自动化
      HCL® AppScan® Source 命令行界面 (CLI) 容器可从 HCL Harbor 和我的 HCLSoftware 门户网站获得，可用于使用 GitHub 自动执行静态分析扫描，而无需安装 AppScan Source 的完整实例。
    - 使用 GitLab CI/CD 和容器配置扫描自动化
      HCL® AppScan® Source 命令行界面 (CLI) 容器可从 HCL Harbor 和我的 HCLSoftware 门户网站获得，可用于使用 GitLab 自动执行静态分析扫描，而无需安装 AppScan Source 的完整实例。
  - 扫描密钥
    通过 scan.ozsettings 文件为所有应用程序、项目和文件夹全局启用密钥扫描程序。
  - 从扫描中排除文件
  - 从扫描中排除文件夹
  - 取消或停止扫描
    虽然您可以取消进行中的扫描，但是取消扫描会导致丢失该扫描的所有数据。另外，可以停止扫描，并生成一个评估（其中包含到目前为止发现的结果）。
  - Linux™ 上的 AppScan® Source for Analysis 和 AppScan® Source for Development（Eclipse 插件）必备组件
    在 Linux™ 上，Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件，那么 AppScan® Source for Analysis 和 AppScan Source for Development Eclipse 插件可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。
- 管理“我的评估”
  “我的评估”视图包含评估（当前打开的评估以及您已保存的任何评估）的列表。在此视图中，您可以打开、删除、保存、重命名或比较评估。扫描完整或您打开已保存的评估时，评估显示在“我的评估”视图中。“我的评估”显示打开或保存的评估的表，并标识已发布或修改的评估。从此视图除去评估（不进行保存或发布）将永久删除该评估。
- 发布评估
  AppScan® Source 提供两种可选发布方式。您可以将评估发布到 AppScan Source Database以存储和共享评估。或者，如果您的 AppScan Enterprise Server 已与 Enterprise Console 选件一起安装，那么可以向该选件发布评估。AppScan Enterprise Console 提供各种用于处理评估的工具，例如报告功能、问题管理、趋势分析和仪表板。
- 打开和保存评估
  AppScan® Source 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞，而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后，您可以将评估保存到文件。然后，您可以随时再次打开此评估。将评估另存为 filename.ozasmt。
- 从“我的评估”中移除评估
  从“我的评估”视图中移除评估时，不会从本地文件系统中移除这些评估。如果从该视图中移除了某个评估，还可以通过打开评估操作来重新添加此评估。
- 定义变量
  保存评估或束，或者发布评估时，AppScan® Source for Analysis 可能建议您创建变量来替换绝对路径（如果没有变量，AppScan Source for Analysis 会将绝对路径写入评估文件以引用诸如源文件之类的项）。为绝对路径配置变量时，可便于在多台计算机上共享评估。建议在共享评估时使用变量。
筛选和分析
通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® Source 评估分类和对结果进行分析。
报告
安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
扩展产品功能
了解如何扩展产品，以满足特定开发需求。
参考
查看 HCL® AppScan® Source 的参考信息，包括使用实用程序、插件和 API。
故障诊断和技术支持
在使用 HCL® AppScan® Source 时可帮助您进行问题故障排除的自助信息、资源和工具。

无需手动干预即可扫描

缺省情况下，创建容器时 AppScan® Source CLI shell 会启动；所有受支持的 AppScan® Source CLI 命令均可在容器内执行。CLI 还支持在脚本文件中定义一组命令，并使用 script 命令指定该文件，以按顺序执行所有这些命令。

使用 script 命令，可以在无需手动干预的情况下执行扫描。

例如：

创建脚本：

> vi /host_machine_workspace/cli.script
> login …
> oa /container_workspace/simpleIOT/SimpleIOT.paf
> scan
> report "Findings by Fix Group" pdf-annotated /Apps/owasp_report.pdf
        -includeSrcBefore:5 -includeSrcAfter:5 -includeTrace:suspect
      -includeHowToFix
> logout

在容器中运行扫描，并指定脚本：

podman run -it --rm --env-file ./env.list --volume
        /host_machine_workspace/:/container_workspace/
        hcl/appscan/source/cli:10.1.0 script .“/container_workspace/cli.script

注：从版本 10.3.0 开始，AppScan® Source 支持使用 Podman 进行容器化。由于 Red Hat Enterprise Linux 8 和 9 中不支持 Docker，因此如果您的主机运行的是 RHEL 8 或 9，请使用 Podman。Podman 支持所有主要的 Docker 命令；将本主题中示例内的 Docker 替换为 Podman 即可在 Podman 环境中创建容器并进行扫描。