Commandes de configuration (Linux™ et macOS)
Utilisez les commandes de configuration pour préparer vos fichiers à l'examen.
appscan.sh prepare
Syntaxe :
appscan.sh prepare -c <configuration_file> -d <save_path> -es, --enableSecrets -jdk <jdk_path> -l <log_path> -n <file_name> -s <value> -sco,--sourceCodeOnly -so, --secretsOnly -t,--thirdParty -v,--verbose -X,--debug
Description :
Générez un fichier IRX.
Indicateurs/paramètres en option :
-c
: cette option sert à configurer un examen.-d
: Spécifiez-d <save_path>
, où<save_path>
correspond au répertoire dans lequel vous souhaitez enregistrer le fichier IRX.-dr, --dryrun
: Spécifiez-dr or --dryrun
pour découvrir et valider les cibles de l'examen, mais pas pour générer un fichier.irx
.-es, --enableSecrets
: Spécifiez-es
ou--enableSecrets
pour activer la recherche de secrets via un examen. La recherche de secrets via un examen est désactivée par défaut.-jdk
: Spécifiez-jdk <jdk_path>
pour préciser le chemin d'accès à l'installation du JDK à utiliser à la place du JDK 17 par défaut. Si vous utilisez un fichier de configuration (-c <configuration_file>
) et que l'attributjdk_path
est utilisé, la valeur spécifiée dans le fichier de configuration est prioritaire.-l
: Spécifiez-l <log_path>
, où<log_path>
correspond au répertoire dans lequel vous souhaitez enregistrer les fichiers journaux.-n
: Spécifiez-n <file_name>
, où<file_name>
correspond au nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l'extension de fichier .irx. Si vous le spécifiez sans l'extension, celle-ci est ajoutée automatiquement lorsque le fichier est généré.-s
: Spécifiez-s <value>
pour indiquer la vitesse et la profondeur de l'examen, où<value>
correspond àsimple
,balanced
,deep
outhorough
. Les vitesses d'examen indiquées via la ligne de commande correspondent aux vitesses d'examen qui peuvent être sélectionnées dans AppScan Go!.- Un examen
simple
effectue une analyse superficielle de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser. - Un examen
balanced
propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen « Simple ». - Un examen
deep
réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps. - Un examen
thorough
effectue une analyse complète afin de dresser la liste des vulnérabilités la plus exhaustive possible. Il s'agit de l'examen qui prend le plus de temps.Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analysethorough
peut exclure les faux positifs qui pourraient être signalés lors d'un examensimple
et, par conséquent, signaler moins de vulnérabilités.
Remarque : Ce paramètre facultatif est sensible à la casse. Lorsqu'aucune vitesse d'examen n'est spécifiée, l'utilitaire client effectue un examendeep
par défaut.- Un examen
-sao
: Spécifiez-sao
pour effectuer une analyse statique uniquement.-sco, --sourceCodeOnly
: Spécifiez-sco
ou--sourceCodeOnly
pour examiner uniquement les fichiers de code source. Ce paramètre désactive l'examen des autres types de fichiers pris en charge, tels que les fichiers.dll
,.exe
,.jar
,.war
et autres.Les examens de code source uniquement sont utiles lorsque vous n'avez accès qu'au code source, que vous souhaitez exécuter un examen plus rapide ou que vous préférez la vitesse à la profondeur de l'examen. Choisissez d'autres options d'examen si vous n'avez accès qu'aux sorties de génération ou si vous préférez la profondeur d'examen à la vitesse.
Remarque : Voir Prise en charge des langages de l'analyse statique pour obtenir une liste des types de fichiers de code source uniquement inclus.-so, --secretsOnly
: Spécifiez-so
ou--secretsOnly
pour rechercher des secrets dans le code source uniquement. La recherche de secrets via un examen est désactivée par défaut.-t, --thirdParty
: Par défaut, le code Java et .NET tiers n'est pas examiné lors de la génération d'un fichier IRX. Vous pouvez modifier les paramètres d'exclusion du code tiers en suivant les instructions de la section Gestion d'exclusions Java et .NET tierces. Pour inclure du code tiers, spécifiez l'option-t
ou--thirdParty
lorsque vous exécutez la commandeprepare
.Si vous êtes un développeur de code tiers qui serait normalement exclu dans un examen, vous pouvez utiliser le paramètre permettant d'inclure le code tiers.
-v,--verbose
: Spécifiez-v
ou--verbose
pour afficher davantage de résultats informatifs lors de la génération de fichiers IRX.-X,--debug
: Spécifiez-X
ou--debug
pour exécuter la commande complète en mode de débogage. Lors d'une exécution en mode de débogage, davantage de fichiers journaux sont générés pour le dépannage.
Exemples :
Pour générer un fichier IRX qui utilise ce fichier de configuration, /root/Desktop/my_config_files/my_config.xml (et qui enregistre le fichier IRX sous /root/Desktop/my_irx_files -n my_scan.irx), exécutez la commande suivante :
appscan.sh prepare -c /root/Desktop/my_config_files/my_config.xml -d /root/Desktop/my_irx_files -n my_scan.irx
appscan.sh package
Syntaxe :
appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
Description :
Générez un fichier IRX qui contient un fichier d'évaluation (.ozasmt) qui a été créé dans un produit HCL AppScan Source version 9.0 ou ultérieure.
Indicateurs/paramètres en option :
-d
: Spécifiez-d <save_path>
, où<save_path>
correspond au répertoire dans lequel vous souhaitez enregistrer le fichier IRX.-n
: Spécifiez-n <file_name>
, où<file_name>
correspond au nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l'extension de fichier .irx. Si vous le spécifiez sans l'extension, celle-ci est ajoutée automatiquement lorsque le fichier est généré.
Exemples :
Dans le répertoire /root/Desktop/my_irx_files, vous pouvez générer un fichier IRX qui contient le fichier d'évaluation, /root/Desktop/my_assessment_files/my_assessment.ozasmt, en exécutant la commande suivante :
appscan.sh package -f /root/Desktop/my_assessment_files/my_assessment.ozasmt
Le fichier IRX ainsi obtenu est enregistré sous /root/Desktop/my_irx_files.
appscan.sh get_pubkey
Syntaxe :
appscan.sh get_pubkey -d <save_path>
Description :
Téléchargez la clé de chiffrement publique pour l'utiliser sur un ordinateur qui n'est pas connecté à internet.
Si vous générez un fichier IRX depuis un ordinateur connecté à Internet, cette commande n'est pas requise, étant donné qu'une clé de chiffrement est automatiquement téléchargée lorsque vous exécutez la commande prepare
. Si une clé de chiffrement existe déjà sur l'ordinateur, elle est mise à jour, si nécessaire, lorsque vous exécutez la commande prepare
.
Cependant, si vous générez un fichier IRX depuis un ordinateur qui n'est pas connecté à Internet, vous pouvez télécharger la clé de chiffrement à l'aide de cette commande. Vous pouvez ensuite copier la clé de chiffrement sur l'ordinateur qui n'est pas connecté à Internet pour ensuite l'utiliser lorsque vous générez le fichier IRX. Pour utiliser cette clé de chiffrement sur cet ordinateur, vous devez conserver le nom du fichier rsa.pub et placer le fichier dans le répertoire config du fichier SAClientUtil_<version>_<os>.zip
extrait (où <version> correspond à la version actuelle de l'Utilitaire de ligne de commande).
prepare
pour mettre à jour automatiquement la clé de chiffrement. Si votre ordinateur n'est pas connecté à Internet, vous devez utiliser la commande get_pubkey
.Indicateurs/paramètres en option :
-d
: Spécifiez-d <save_path>
, où<save_path>
correspond au répertoire dans lequel vous souhaitez enregistrer la clé de chiffrement. Si cette option n'est pas spécifiée, la clé est enregistrée dans le répertoire config du fichierSAClientUtil_<version>_<os>.zip
extrait.