Configuration système requise pour Analyse statique AppScan 360°

Cette section décrit les systèmes d'exploitation et les technologies nécessaires au téléchargement et au déploiement d'Analyse statique AppScan 360°. Des informations supplémentaires sur la configuration des composants requis sont disponibles ici.

Le package Analyse statique AppScan 360° contient les éléments suivants :
  • AppScan 360° SAST : gateway

    Point d'entrée principal d'un examen.

  • workflow-manager

    Gère la progression de l'examen.

  • scan-manager

    Récupère les artefacts et les détails de l'examen, et collecte des informations de résolution des incidents.

  • Service preparer

    Prépare le code source et crée des artefacts pour analyse.

  • Service analyzer

    Evalue le fichier IRX pour identifier les vulnérabilités.

  • Fonction ASCP sur adaptateur

    Interagit avec Plateforme centrale AppScan pour surveiller le statut et la progression de l'examen, ainsi que pour utiliser les résultats et les journaux.

  • RabbitMQ
Remarque : Le nombre et la configuration des systèmes utilisés pour héberger les conteneurs dépendent du niveau requis de simultanéité (nombre d'examens parallèles) et de la taille des applications à examiner.

Conditions préalables et configuration requise

Analyse statique AppScan 360° est téléchargé et déployé à l'aide d'un script bash et nécessite donc un environnement Linux. Les agents Analyse statique AppScan 360° sont déployés localement ou dans le cloud.
Remarque : Installez la Plateforme centrale AppScan avant de télécharger et de déployer Analyse statique AppScan 360°.

Téléchargement d'AppScan 360° SAST

Système Linux :
  • Red Hat 7.9 ou version ultérieure, ou Ubuntu
  • Runtime Docker ou containerd
  • Kubectl
  • Helm
Des graphiques de base SAST sont nécessaires pour piloter le processus de déploiement. Vous pouvez télécharger les graphiques AppScan 360° SAST actuels sur un système local de deux manières :
  • HCL Harbor
    • ID HCL avec accès au portail FlexNet Operations.
    • Compte HCL Harbor avec accès en lecture et accès à la zone de projet AppScan 360° SAST.
  • Installation de l'archive
    • ID HCL avec accès au portail FlexNet Operations.

Configuration de cluster

Vous pouvez déployer AppScan 360° SAST sur des clusters Kubernetes à l'aide de notre script. Les conditions préalables suivantes s'appliquent à tous les types de clusters :
  • Certificat d'autorité de certification et clé privée pour activer TLS
  • La dernière version disponible d'un contrôleur d'ingress (par exemple, NGINX)
  • Keda version 2.9.4
  • CertManager version 1.11.0
  • kubectl pour la communication avec le cluster.

Déploiement cloud sur AKS (Azure)

Les conteneurs AppScan 360° SAST peuvent être déployés dans un environnement Kubernetes fourni par différents fournisseurs de cloud et configuré comme suit :

Remarque : Actuellement, le script de déploiement prend uniquement en charge Azure pour le déploiement cloud.
Remarque : Kubernetes et Azure sont les technologies de conteneurisation préférées et prises en charge pour Analyse statique AppScan 360°.

Utilitaire de ligne de commande Static Analyzer

L'Utilitaire de ligne de commande Static Analyzer (SAClientUtil) est utilisé pour générer un fichier IRX qui peut être examiné dans AppScan 360°. La commande appscan.sh prepare est prise en charge pour une utilisation avec Analyse statique AppScan 360°.

Utilitaire de ligne de commande Static Analyzer (SAClientUtil) est régulièrement mis à jour pour diverses raisons, notamment :
  • Nouvelles langues prises en charge
  • Prise en charge de la langue mise à jour (nouveaux types de fichiers associés aux langues prises en charge, par exemple)
  • Nouvelles fonctions
  • Correctifs

Ressources requises

Conteneurs

Pour chaque conteneur au repos, basé sur un système de référence avec RHEL7.9, 16 Go de RAM, 24 UC virtuelles et 512 Go d'espace disque, les ressources suivantes sont requises :

Service Instance (min./max.) UC (min./max.) RAM (min./max.) Espace disque (min./max.)
Service prepare 1/10 4/6 16 Go/16 Go
Service analyze 1/10 4/6 32 Go/32 Go
Gestionnaire de flux de travaux 1/1 2/4 6 Go/6 Go
Gestionnaire d'examens 1/1 1/2 4 Go/4 Go
Fonction ASCP sur adaptateur 1/3 2/4 6 Go/6 Go
Passerelle 1/1 1/2 4 Go/4 Go
Données d'examen (partagées) 200GB
Journaux (partagés) - 10 Go
Remarque : La RAM maximale pour les services preparer et analyzer peut être augmentée en fonction des besoins en mémoire d'un examen individuel. L'espace disque pour les données d'examen et les journaux peut être augmenté selon les besoins.
Remarque : Azure Kubernetes Service (AKS) fournit le stockage azurefile en tant que classe de stockage pour les PVC. Si une classe de stockage personnalisée, telle que longhorn, doit être utilisée, un espace disque d'environ 250 Go est fourni pour les PVC de pods et les PVC de journaux.

Les besoins en ressources varient considérablement en fonction des besoins d'examen, des configurations, des exigences des applications, etc. Voir Configuration d'examens simultanés pour plus d'informations.

Mise à l'échelle automatique

Les services preparer, analyzer et Fonction ASCP sur adaptateur peuvent être mis à l'échelle automatiquement. Lorsque des requêtes d'examen simultanées sont détectées par la surveillance, les files d'attente de messages RabbitMQ pour l'un des services preparer, analyzer ou Fonction ASCP sur adaptateur, jusqu'à dix pods (par défaut) pour chaque service peuvent être démarrés en parallèle pour traiter les requêtes de la file d'attente.

Service Instance (min./max.)
preparer 1/10
analyzer 1/10
ascp-adapter 1/3
workflow-manager 1/1
scan-manager 1/1
gateway 1/1
Remarque : La configuration des ressources dans le cluster doit être personnalisée pour prendre en charge le niveau souhaité d'examens simultanés.

Stockage

AppScan 360° SAST utilise le stockage pour :
  • Cache d'examen
  • Données d'examen
  • Journaux

Par défaut, AppScan 360° SAST utilise le fournisseur de stockage azurefile lorsqu'il est déployé dans Azure, sauf s'il est configuré pour utiliser un autre fournisseur de stockage. Le nom de classe, la taille et d'autres propriétés du fournisseur de stockage peuvent être personnalisés à l'aide des paramètres de configuration.