Configuration d'un examen à l'aide d'AppScan Go!
Utilisez AppScan Go! pour configurer un examen statique. Vous pouvez ensuite exécuter l'examen dans le cloud ou utiliser un plug-in pour automatiser l'examen.
Avant de commencer
La première fois que vous utilisez AppScan Go!, il télécharge toutes les mises à jour nécessaires :
- Dans AppScan 360°, cliquez sur Créer un examen pour ouvrir l'assistant, puis sur Examen statique.
- Sélectionnez la plateforme (Windows, Max ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire, puis cliquez sur Télécharger.
- Sélectionnez la plateforme (Windows, Max ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire de ligne de commande (CLI), puis cliquez sur Télécharger.
- Extrayez le module
SAClientUtil
. À partir du dossier parentSAClientUtil
, copiez lenfantSAClientUtil
dans votre dossier .appscan. Si nécessaire, créez le dossier.- Windows : <user_home>\.appscan\
- Linux : <user_home>/.appscan/
- Procédez à l'extraction des fichiers AppScan Go! et installez l'utilitaire sur votre système local.
- Désactivez le paramètre de mise à jour automatique dans les paramètresAppScan Go!.
Remarque : Si vous rencontrez une erreur lors du lancement de AppScan Go!, voir La mise à jour automatique de l'AppScan Go! échoue.
Remarque : Si vous mettez à jour une installation AppScan Go! existante sur Linux vers une version plus récente, exécutez l'installation avec l'option
-U
.Pourquoi et quand exécuter cette tâche
Procédure
-
Lancez AppScan Go! depuis votre système local.
Sous Windows, cliquez sur.Vous ne devez pas être connecté au service AppScan 360° pour commencer à configurer un examen.
-
Spécifiez l'emplacement des fichiers à examiner. Accédez au dossier qui contient les fichiers à examiner, puis cliquez sur Sélectionner un dossier.
AppScan Go! vous permet de sélectionner uniquement des dossiers.
-
Choisissez les types de problèmes que vous souhaitez rechercher et les types de fichiers à examiner, puis cliquez sur Continuer.
Vous pouvez choisir d'examiner tous les problèmes de sécurité de tous les types de fichiers, ou de faire varier l'examen en fonction de l'examen des sources ouvertes et/ou de l'examen du code source uniquement.Remarque : Les examens SCA (Open Source) ont besoin d'une licence appropriée. SCA n'est actuellement pas disponible dans AppScan 360°.
-
AppScan Go! extrait les fichiers appropriés du dossier sélectionné et les répertorie afin que vous puissiez les consulter. Consultez, sélectionnez ou désélectionnez des fichiers, puis cliquez sur Continuer.
AppScan 360° enregistre le fichier de configuration des examens (appscan-config.xml) dans le dossier contenant vos fichiers à examiner. Vous pouvez quitter l'utilitaire à ce stade et reprendre ultérieurement, ou vous connecter au AppScan 360° service, et ainsi configurer et exécuter l'examen maintenant.Remarque : Pour plus d'informations sur l'utilisation des fichiers de configuration, voir Configuration de la génération de fichier IRX avec l'interface de ligne de commande.
-
Cliquez sur Créer un nouvel examen pour vous connecter à HCL AppScan 360° et spécifier des paramètres supplémentaires, ou automatisez le projet à l'aide d'un plug-in pris en charge.
Remarque : Si vous ne parvenez pas à vous connecter à AppScan 360°, vérifiez que vous utilisez la version la plus récente d'AppScan Go!, version 0.1.7 ou ultérieure. Pour plus de détails, voir Identification et résolution des incidents.
-
Spécifiez les paramètres d'examen suivants, puis cliquez sur Lancer l'examen pour charger les fichiers :
Paramètre Description Nom de l'examen Donnez un nom à l'examen ou acceptez le nom par défaut créé par AppScan 360°. Application à laquelle associer l'examen Sélectionnez l'application à associer à l'examen. Options de vitesse d'examen (SAST uniquement) Sélectionnez un examen Simple, Equilibré, Profond ou Completen fonction de vos besoins et de vos exigences en matière de temps. Notez que la vitesse de l'examen n'est pas une option configurable dans le cas des examens SCA/Open Source. - Un examen
simple
effectue une analyse superficielle de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser. - Un examen
balanced
propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen « Simple ». - Un examen
deep
réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps. - Un examen
thorough
effectue une analyse complète afin de dresser la liste des vulnérabilités la plus exhaustive possible. Il s'agit de l'examen qui prend le plus de temps.Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analysethorough
peut exclure les faux positifs qui pourraient être signalés lors d'un examensimple
et, par conséquent, signaler moins de vulnérabilités.
Exécuter comme examen personnel Indiquez si l'examen va rester privé et ne sera pas inclus dans les données d'un projet parasol. M'informer par e-mail lorsque les résultats de l'examen sont prêts Indiquez si un e-mail doit être envoyé lorsque l'examen est terminé. Cela s'avère particulièrement utile pour les examens profonds. AppScan Go! recueille des informations pour tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire. AppScan Go! charge ensuite le fichier AppScan Go! obtenu dans le service AppScan 360°. - Un examen
-
Une fois le chargement de l'examen terminé, cliquez sur Terminer.
-
Ouvrez AppScan 360° pour consulter le statut ou les résultats de l'examen.