欢迎
欢迎使用 HCL®AppScan® 源代码文档。
新增功能
探索已添加到 AppScan® 源代码的以下新功能，并请注意该发行版中已不推荐使用的任何功能部件和功能。
安装
了解如何安装、升级和激活 HCL®AppScan® 源代码。
配置
了解如何配置应用程序和项目，以及如何在 HCL®AppScan® 源代码中设置属性和特性。
管理
了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL®AppScan® 源代码中的集成。
扫描
本部分说明在 HCL®AppScan® 源代码中如何扫描源代码和管理评估。
- 扫描工作空间、项目和文件
  您可以扫描 Eclipse 工作空间、项目或文件。这包括扫描 Java™（包括 Android）、JavaServer Pages (JSP) 和 IBM® MobileFirst Platform 项目。
  - 扫描注意事项
    该主题描述了可能影响您的扫描的限制和注意事项。
  - 扫描配置
    扫描配置将在启动扫描时予以使用，并且通常能产生更好的扫描结果。AppScan® 源代码包括built-in scan configurations, which can be accessed in 服务器方式 or 本地方式. 此外，还可以在 AppScan Source for Analysis 中创建定制的扫描配置，并将其共享到 AppScan Enterprise Server - 可以在服务器方式下从 AppScan Source for Development 访问这些配置。
  - 扫描集成
    HCL®AppScan® 源代码允许与容器化技术集成，并使用容器进行扫描自动化。
    - 使用 Docker 映像创建容器
    - 使用 Jenkins 和容器配置扫描自动化
      HCL®AppScan® 源代码命令行界面 (CLI) 容器可从 HCL Harbor 和 HCL FlexNet Operations (FNO) 门户网站获得，可用于使用 Jenkins 自动执行静态分析扫描，而无需安装 AppScan 源代码的完整实例。
    - 使用 Azure 和容器配置扫描自动化
      HCL®AppScan® 源代码命令行界面 (CLI) 容器可从 HCL Harbor 和 HCL FlexNet Operations (FNO) 门户网站获得，可用于使用 Azure 自动执行静态分析扫描，而无需安装 AppScan 源代码的完整实例。
    - 使用 GitHub 操作和容器配置扫描自动化
      HCL®AppScan® 源代码命令行界面 (CLI) 容器可从 HCL Harbour 和 HCL FlexNet Operations 门户网站 (FNO) 中获得，可用于使用 GitHub 自动执行静态分析扫描，而无需安装 AppScan 源代码的完整实例。
    - 使用 GitLab CI/CD 和容器配置扫描自动化
      HCL®AppScan® 源代码命令行界面 (CLI) 容器可从 HCL Harbour 和 HCL FlexNet Operations 门户网站 (FNO) 中获得，可用于使用 GitLab 自动执行静态分析扫描，而无需安装 AppScan 源代码的完整实例。
  - 从扫描中排除文件
  - 取消或停止扫描
    虽然您可以取消进行中的扫描，但是取消扫描会导致丢失该扫描的所有数据。另外，可以停止扫描，并生成一个评估（其中包含到目前为止发现的结果）。
  - Linux™ 上的 AppScan® Source for Analysis 和 AppScan® Source for Development（Eclipse 插件）必备组件
    在 Linux™ 上，Eclipse 需要安装第三方组件才能呈现基于浏览器的内容。如果没有此组件，那么 AppScan® Source for Analysis 和 AppScan Source for Development Eclipse 插件可能会显现诸如登录后挂起或在产品使用期间发生故障之类的症状。
- 管理“我的评估”
  “我的评估”视图包含评估（当前打开的评估以及您已保存的任何评估）的列表。在此视图中，您可以打开、删除、保存、重命名或比较评估。扫描完整或您打开已保存的评估时，评估显示在“我的评估”视图中。“我的评估”显示打开或保存的评估的表，并标识已发布或修改的评估。从此视图除去评估（不进行保存或发布）将永久删除该评估。
- 将 AppScan® 源代码评估提交到云以进行分析
  如果在 HCL Cloud Marketplace 订阅了 HCL AppScan on Cloud，可在此处提交 AppScan® 源代码评估以进行分析。支持 AppScan 源代码 V9.0 或更高版本的评估，可提交的扫描数取决于 AppScan on Cloud 订阅。
- 发布评估
  AppScan® 源代码提供两种可选发布方式。您可以将评估发布到 AppScan 源数据库以存储和共享评估。或者，如果您的 AppScan Enterprise Server 已与 Enterprise Console 选件一起安装，那么可以向该选件发布评估。AppScan Enterprise Console 提供各种用于处理评估的工具，例如报告功能、问题管理、趋势分析和仪表板。
- 打开和保存评估
  AppScan® 源代码扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞，而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后，您可以将评估保存到文件。然后，您可以随时再次打开此评估。将评估另存为 filename.ozasmt。
- 从“我的评估”中移除评估
  从“我的评估”视图中移除评估时，不会从本地文件系统中移除这些评估。如果从该视图中移除了某个评估，还可以通过打开评估操作来重新添加此评估。
- 定义变量
  保存评估或束，或者发布评估时，AppScan® Source for Analysis 可能建议您创建变量来替换绝对路径（如果没有变量，AppScan Source for Analysis 会将绝对路径写入评估文件以引用诸如源文件之类的项）。为绝对路径配置变量时，可便于在多台计算机上共享评估。建议在共享评估时使用变量。
筛选和分析
通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源代码评估分类和对结果进行分析。
报告
安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
扩展产品功能
了解如何扩展产品，以满足特定开发需求。
参考
查看 HCL®AppScan® 源代码的参考信息，包括使用实用程序、插件和 API。
故障诊断和技术支持
帮助您在使用 HCL®AppScan® 源代码时对问题进行故障诊断的自助信息、资源和工具。

无需手动干预即可扫描

缺省情况下，创建容器时 AppScan® 源代码 CLI shell 会启动；所有受支持的 AppScan® 源代码 CLI 命令均可在容器内执行。CLI 还支持在脚本文件中定义一组命令，并使用 script 命令指定该文件，以按顺序执行所有这些命令。

使用 script 命令，可以在无需手动干预的情况下执行扫描。

例如：

创建脚本：

> vi /host_machine_workspace/cli.script
> login …
> oa /container_workspace/simpleIOT/SimpleIOT.paf
> scan
> report "Findings by Fix Group" pdf-annotated /Apps/owasp_report.pdf
        -includeSrcBefore:5 -includeSrcAfter:5 -includeTrace:suspect
      -includeHowToFix
> logout

在容器中运行扫描，并指定脚本：

docker run -it --rm --env-file ./env.list --volume
        /host_machine_workspace/:/container_workspace/
        hcl/appscan/source/cli:10.1.0 script .“/container_workspace/cli.script