Welcome
掃描
本節說明如何在 HCL® AppScan® Source 中掃描原始碼及管理評量。
掃描工作區、專案和檔案
您可以掃描 Eclipse 工作區、專案或檔案。這包括掃描 Java™（包括 Android）及 JavaServer Pages (JSP) 專案。
掃描整合
HCL® AppScan® Source 允許與儲存器技術整合，以及使用儲存器進行掃描自動化。
使用 Podman 映像檔建立儲存器

歡迎使用
歡迎使用 HCL® AppScan® Source 的說明文件。
新增功能
探索新增至 AppScan® Source 的特色，並記下此版本中淘汰的任何特色與功能。
安裝
瞭解如何安裝，升級和啟動 HCL® AppScan® Source。
配置
瞭解如何在 HCL® AppScan® Source 中配置應用程式、資料夾和專案，以及設定屬性和內容。
管理
瞭解如何在 HCL® AppScan® Source 中管理使用者帳戶和許可權、審核使用者活動，以及管理整合。
掃描
本節說明如何在 HCL® AppScan® Source 中掃描原始碼及管理評量。
- 掃描工作區、專案和檔案
  您可以掃描 Eclipse 工作區、專案或檔案。這包括掃描 Java™（包括 Android）及 JavaServer Pages (JSP) 專案。
  - 掃描考量
    本主題說明可能影響您掃描的限制和考量。
  - 掃描配置
    啟動掃描時會使用掃描配置，這通常可產生較佳的掃描結果。AppScan® Source 包含內建的掃描配置，可在 server mode 或 local mode 下存取。此外，還可在 AppScan Source for Analysis 中建立自訂掃描配置並分享到 AppScan Enterprise Server，在 server mode 下，可從 AppScan Source for Development 存取。
  - 掃描整合
    HCL® AppScan® Source 允許與儲存器技術整合，以及使用儲存器進行掃描自動化。
    - 使用 Podman 映像檔建立儲存器
    - 使用 Jenkins 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source (MHS) 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 Jenkins 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
    - 使用 Azure 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source (MHS) 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 Azure 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
    - 使用 GitHub Action 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 GitHub 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
    - 使用 GitLab CI/CD 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source) 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 GitLab 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
  - 掃描密碼
    為 scan.ozsettings 檔中所有應用程式、專案和資料夾全域啟用密碼掃描器。
  - 從掃描中排除檔案
  - 將資料夾排除在掃描外
  - 取消或停止掃描
    雖然您可以取消進行中的掃描，但取消掃描會使這項掃描的資料全部消失。或者，您也可以停止掃描來中止它，並以到目前為止所發現的結果來產生評量。
  - Linux™ 上必備的 AppScan® Source for Analysis 和 AppScan® Source for Development（Eclipse 外掛程式）元件
    在 Linux™ 上，需要安裝協力廠商元件，Eclipse 才能呈現瀏覽器型的內容。如果沒有這個元件，AppScan® Source for Analysis 和 AppScan Source for Development Eclipse 外掛程式可能會出現一些症狀，例如在登入之後出現懸置或在產品使用期間出現失敗。
- 管理我的評量
  「我的評量」視圖包含一份評量清單（目前開啟的評量，以及您已儲存的任何評量）。在這個視圖中，您可以開啟、刪除、儲存、重新命名或比較評量。掃描完成之後，或當您開啟儲存的評量時，評量會出現在「我的評量」視圖中。「我的評量」會顯示一份表格，列出已開啟或儲存的評量，且會識別已發佈或修改的評量。從這個視圖中移除某項評量（且未儲存或發佈它），就會永久刪除這個評量。
- 發佈評量
  AppScan® Source 提供兩個發佈選項。您可以將評量發佈到 AppScan Source Database，以便儲存及共用評量。或者，如果 AppScan Enterprise Server 已安裝 Enterprise Console 選項，您可以將評量發佈到那裡。AppScan Enterprise Console 提供各種可處理評量的工具，例如：報告特性、問題管理、趨勢分析和儀表板。
- 開啟及儲存評量
  AppScan® Source 會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。
- 從「我的評量」移除評量
  當從「我的評量」視圖中移除評量時，並不會將它們從您的本端檔案系統中移除。如果從視圖中移除評量，您可以利用開啟評量動作來加回此評量。
- 定義變數
  當儲存評量或組合時，或是發佈評量時，AppScan® Source for Analysis 可能會建議您建立變數，來取代絕對路徑（如果沒有變數，AppScan Source for Analysis 會將絕對路徑寫入評量檔中，以參照原始檔之類的項目）。配置絕對路徑的變數，有助於多部電腦共用評量。建議您在共用評量時使用變數。
分類及分析
將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® Source 評量以及分析結果。
報告
安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
延伸產品功能
瞭解如何延伸產品以符合特定的開發需求。
參照
檢閱 HCL® AppScan® Source 參照資訊，包括使用公用程式、外掛程式及 API。
疑難排解和支援
自助資訊、資源和工具，可協助您在使用 HCL® AppScan® Source 時疑難排解問題。

使用 Podman 映像檔建立儲存器

使用 Podman 映像檔建立儲存器時，您必須指定映像檔、授權資訊，並讓掃描構件可供映像檔使用：

指令
podman run ... hcl/appscan/source/cli:10.1.0
授權資訊
--env <name=value
--env-file env.list
掃描構件
--volume /data/wa:/data/wa

使用 AppScan® Source CLI Podman 映像檔，透過執行下列指令來建立儲存器：

> podman run hcl/appscan/source/cli:10.1.0

Podman 支援下列選用旗標。如需這些旗標及其他旗標的詳細討論，請參閱 Podman 說明文件。


旗標	說明
`--rm`	儲存器結束時系統會自動移除它
`--detach`、`--d`	在背景中執行儲存器並列印儲存器 ID
`--interactive`、`-i`	即使未連接，也將 STDIN 保持開啟狀態
`--ttv`、`-t`	配置虛擬 TTY

範例：

podman run –i --rm \
	    --env AS_LICENSE_INSTANCE=xxxx \
	    --volume /data/wa:/data/wa \
	    hcl/appscan/source/cli:10.1.0

podman run --env-file env.list --volume /data/wa:/data/wa hcl/appscan/source/cli:10.1.0

用法注意事項：

CLI 用戶端不支援產生 .paf/.ppf 檔案，也不支援在儲存器中執行的 CLI
依預設，儲存器會開啟 AppScan® Source CLI Shell，其中只能執行支援的 AppScan® Source CLI 指令。
不支援掃描 .NET 專案，因為儲存器只能在 Linux 上使用。

註：從 10.3.0 版起，AppScan® Source 支援使用 Podman 進行儲存器化。由於 Red Hat Enterprise Linux 8 和 9 不支援 Docker，如果您的主機執行 RHEL 8 或 9，請使用 Podman。Podman 支援所有主要的 Docker 指令；在本主題的範例中以 Podman 取代 Docker，即可在 Podman 環境中建立儲存器並進行掃描。