Welcome
掃描
本節說明如何在 HCL® AppScan® Source 中掃描原始碼及管理評量。
掃描工作區、專案和檔案
您可以掃描 Eclipse 工作區、專案或檔案。這包括掃描 Java™（包括 Android）及 JavaServer Pages (JSP) 專案。
掃描整合
HCL® AppScan® Source 允許與儲存器技術整合，以及使用儲存器進行掃描自動化。
使用 Podman 映像檔建立儲存器
配置儲存器以存取掃描構件

歡迎使用
歡迎使用 HCL® AppScan® Source 的說明文件。
新增功能
探索新增至 AppScan® Source 的特色，並記下此版本中淘汰的任何特色與功能。
安裝
瞭解如何安裝，升級和啟動 HCL® AppScan® Source。
配置
瞭解如何在 HCL® AppScan® Source 中配置應用程式、資料夾和專案，以及設定屬性和內容。
管理
瞭解如何在 HCL® AppScan® Source 中管理使用者帳戶和許可權、審核使用者活動，以及管理整合。
掃描
本節說明如何在 HCL® AppScan® Source 中掃描原始碼及管理評量。
- 掃描工作區、專案和檔案
  您可以掃描 Eclipse 工作區、專案或檔案。這包括掃描 Java™（包括 Android）及 JavaServer Pages (JSP) 專案。
  - 掃描考量
    本主題說明可能影響您掃描的限制和考量。
  - 掃描配置
    啟動掃描時會使用掃描配置，這通常可產生較佳的掃描結果。AppScan® Source 包含內建的掃描配置，可在 server mode 或 local mode 下存取。此外，還可在 AppScan Source for Analysis 中建立自訂掃描配置並分享到 AppScan Enterprise Server，在 server mode 下，可從 AppScan Source for Development 存取。
  - 掃描整合
    HCL® AppScan® Source 允許與儲存器技術整合，以及使用儲存器進行掃描自動化。
    - 使用 Podman 映像檔建立儲存器
    - 使用 Jenkins 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source (MHS) 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 Jenkins 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
    - 使用 Azure 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source (MHS) 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 Azure 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
    - 使用 GitHub Action 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 GitHub 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
    - 使用 GitLab CI/CD 和儲存器配置掃描自動化
      可從 HCL Harbor 和 HCL® AppScan® Source) 取得的 My HCLSoftware 入口網站指令行介面 (CLI) 儲存器，可在以 GitLab 將靜態分析掃描自動化時使用，無須安裝完整的 AppScan Source 實例。
  - 掃描密碼
    為 scan.ozsettings 檔中所有應用程式、專案和資料夾全域啟用密碼掃描器。
  - 從掃描中排除檔案
  - 將資料夾排除在掃描外
  - 取消或停止掃描
    雖然您可以取消進行中的掃描，但取消掃描會使這項掃描的資料全部消失。或者，您也可以停止掃描來中止它，並以到目前為止所發現的結果來產生評量。
  - Linux™ 上必備的 AppScan® Source for Analysis 和 AppScan® Source for Development（Eclipse 外掛程式）元件
    在 Linux™ 上，需要安裝協力廠商元件，Eclipse 才能呈現瀏覽器型的內容。如果沒有這個元件，AppScan® Source for Analysis 和 AppScan Source for Development Eclipse 外掛程式可能會出現一些症狀，例如在登入之後出現懸置或在產品使用期間出現失敗。
- 管理我的評量
  「我的評量」視圖包含一份評量清單（目前開啟的評量，以及您已儲存的任何評量）。在這個視圖中，您可以開啟、刪除、儲存、重新命名或比較評量。掃描完成之後，或當您開啟儲存的評量時，評量會出現在「我的評量」視圖中。「我的評量」會顯示一份表格，列出已開啟或儲存的評量，且會識別已發佈或修改的評量。從這個視圖中移除某項評量（且未儲存或發佈它），就會永久刪除這個評量。
- 發佈評量
  AppScan® Source 提供兩個發佈選項。您可以將評量發佈到 AppScan Source Database，以便儲存及共用評量。或者，如果 AppScan Enterprise Server 已安裝 Enterprise Console 選項，您可以將評量發佈到那裡。AppScan Enterprise Console 提供各種可處理評量的工具，例如：報告特性、問題管理、趨勢分析和儀表板。
- 開啟及儲存評量
  AppScan® Source 會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。
- 從「我的評量」移除評量
  當從「我的評量」視圖中移除評量時，並不會將它們從您的本端檔案系統中移除。如果從視圖中移除評量，您可以利用開啟評量動作來加回此評量。
- 定義變數
  當儲存評量或組合時，或是發佈評量時，AppScan® Source for Analysis 可能會建議您建立變數，來取代絕對路徑（如果沒有變數，AppScan Source for Analysis 會將絕對路徑寫入評量檔中，以參照原始檔之類的項目）。配置絕對路徑的變數，有助於多部電腦共用評量。建議您在共用評量時使用變數。
分類及分析
將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® Source 評量以及分析結果。
報告
安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
延伸產品功能
瞭解如何延伸產品以符合特定的開發需求。
參照
檢閱 HCL® AppScan® Source 參照資訊，包括使用公用程式、外掛程式及 API。
疑難排解和支援
自助資訊、資源和工具，可協助您在使用 HCL® AppScan® Source 時疑難排解問題。

配置儲存器以存取掃描構件

若要使用 Podman 儲存器掃描應用程式，必須將相關檔案提供給該儲存器：磁區將包含掃描構件的目錄裝載至 Podman 儲存器。

Podman 支援將磁區裝載至儲存器的選項 “--volume | -v”。

例如，若要從主機裝載路徑 /host_machine_workspace/simpleIOT/（其中 Podman 會被安裝到儲存器的路徑 /container_workspace/simpleIOT/：

podman run -it --rm --env-file ./env.list --volume
        /host_machine_workspace/simpleIOT/:/container_workspace/simpleIOT/
        hcl/appscan/source/cli:10.1.0

註：

指定裝載目錄的必要權限，以便從儲存器執行的掃描可以執行必要的檔案作業。例如，檔案/資料夾至少應有 755 權限，且應該新增至 root 群組。
.paf/.ppf 檔案內的所有路徑參照都應該可在儲存器內解析。

註：從 10.3.0 版起，AppScan® Source 支援使用 Podman 進行儲存器化。由於 Red Hat Enterprise Linux 8 和 9 不支援 Docker，如果您的主機執行 RHEL 8 或 9，請使用 Podman。Podman 支援所有主要的 Docker 指令；在本主題的範例中以 Podman 取代 Docker，即可在 Podman 環境中建立儲存器並進行掃描。