Configuration d'un examen à l'aide d'AppScan Go!

AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Exécutez l'examen dans le service ou utilisez un plug-in pour l'automatiser.

Avant de commencer

Pour utiliser l'AppScan Go!, installez-la sur votre système local :
  1. Dans AppScan 360° :
    1. Cliquez sur Créer un examen pour ouvrir l'assistant.
    2. Cliquez sur SAST.
    3. Cliquez sur Télécharger une archive à examiner.
  2. Dans la section Générer des fichiers IRX de l'assistant, choisissez la plateforme (Windows, Mac ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire, puis cliquez sur Télécharger.
    Important : AppScan Go! requiert l'Utilitaire de ligne de commande Static Analyzer (SAClientUtil). Les utilisateurs d'AppScan 360° doivent utiliser les versions de l'Utilitaire de ligne de commande Static Analyzer et d'AppScan Go! incluses dans l'installation d'AppScan 360°. Les utilisateurs de AppScan on Cloud doivent utiliser les versions téléchargées à partir du service AppScan on Cloud. Elles ne peuvent pas être échangées.
  3. Procédez à l'extraction des fichiers et installez l'utilitaire sur votre système local :
    • Sur les systèmes Windows, lancez appscan-go-2.3.0-installer.exe et suivez les invites.
    • Sur les systèmes Linux et Mac, exécutez appscan-go-installer.sh à partir du terminal.

    L'installation configure AppScan Go! et l'Utilitaire de ligne de commande Static Analyzer.

  4. Désactivez le paramètre de mise à jour automatique dans les paramètresAppScan Go!.
    Remarque : Si vous rencontrez une erreur lors du lancement de AppScan Go!, voir La mise à jour automatique de l'AppScan Go! échoue.
Remarque : Configurez AppScan Go! pour utiliser un proxy système, si nécessaire.

Pourquoi et quand exécuter cette tâche

Grâce à AppScan Go!, vous pouvez configurer des examens localement avant d'exécuter une analyse dans le service.

Procédure

  1. Lancez AppScan Go! depuis votre système local.
    Vous ne devez pas être connecté au service AppScan 360° pour commencer à configurer un examen. Vous devez obligatoirement être connecté pour effectuer un examen.
  2. Choisissez une méthode d'examen :
    • Effectuez un examen intégral.
    • Créez un fichier IRX et effectuez un examen ultérieurement.
    • Créez un fichier de configuration pour automatiser les examens.
  3. Spécifiez l'emplacement des fichiers à examiner, le mode et le type d'examen, puis cliquez sur Suivant.
    1. Spécifiez l'emplacement des fichiers de projet à examiner : un répertoire local ou un référentiel de gestion de la configuration logicielle (SCM).

      • Accédez au dossier qui contient les fichiers à examiner, puis cliquez sur Sélectionner un dossier. AppScan Go! vous permet de sélectionner uniquement des dossiers.

      • Si vous examinez un référentiel, entrez l'URL du référentiel SCM, cliquez sur Se connecter au référentiel, connectez-vous au SCM et sélectionnez la branche correcte.

      Remarque : Assurez-vous que Git version 2.40.1 ou ultérieure est installé et que vous utilisez un jeton d'accès personnel pour l'authentification.
    2. Indiquez un ou plusieurs types d'examen : statique, Software Composition Analysis (Open Source) ou balayage des secrets.
      Remarque : Le balayage des secrets est activé ou désactivé au niveau de l'organisation, mais la vérification ou l'annulation de la vérification des secrets ici remplace ce paramètre.
    3. Indiquez si vous souhaitez examiner le code compilé (bytecode) ou le code source non compilé.
      AppScan Go! recommande automatiquement le meilleur mode d'examen pour le fichier défini.
  4. AppScan Go! extrait les fichiers appropriés du dossier sélectionné et les répertorie afin que vous puissiez les consulter. Consultez, sélectionnez ou désélectionnez des fichiers, puis cliquez sur Suivant.
  5. Si vous avez choisi d'exécuter un examen complet ou de préparer un fichier IRX, configurez les paramètres d'examen, puis cliquez sur Suivant.
    Remarque : Vous devez être connecté à AppScan 360° pour afficher la liste des applications disponibles.
    ParamètreDescription
    Nom de l'examen Donnez un nom à l'examen ou acceptez le nom par défaut créé par AppScan Go!.
    Applications associées Lors de l'exécution d'un examen complet, choisissez l'application à associer à l'examen.
    Options de vitesse d'examen (SAST uniquement) Choisissez l'examen Normal, Rapide, Plus rapide, ou Le plus rapide en fonction des besoins et du temps disponible. Notez que la vitesse d'examen n'est pas une option configurable pour les examens SCA/Open Source.
    • Un examen normal effectue une analyse complète afin de dresser la liste des vulnérabilités la plus exhaustive possible. Il s'agit de l'examen qui prend le plus de temps.
    • Un examen fast réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps qu'un examen normal.
    • Un examen faster propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen « Le plus rapide ».
    • Un examen fastest effectue une analyse superficielle de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser.
      Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analyse normal peut exclure les faux positifs qui pourraient être signalés lors d'un examen fastest et, par conséquent, signaler moins de vulnérabilités.
    Préférences d'examen Lors de l'exécution d'un examen intégral, spécifiez les préférences d'examen :
    • Effectuer un examen personnel : indiquez si l'examen restera privé et ne sera pas inclus dans les données du projet global.
    • M'informer par e-mail lorsque les résultats de l'examen sont prêts : indiquez si un e-mail doit être envoyé lorsque l'examen est terminé. Cela s'avère particulièrement utile pour les examens normaux.
    • Autoriser l'intervention : Cette fonction n'est pas disponible dans AppScan 360°.
  6. Si vous avez opté pour un examen intégral, AppScan Go! recueille des informations sur tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX à l'emplacement d'examen spécifié. AppScan Go! charge ensuite le fichier IRX obtenu dans le service AppScan 360°. Une fois le chargement de l'examen terminé, cliquez sur Terminer.
    Remarque : Vous devez être connecté à un service AppScan pour effectuer un examen. Voir Informations sur le compte.
  7. Si vous avez choisi de créer un fichier IRX, AppScan Go! recueille des informations sur tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX à l'emplacement d'examen spécifié. Lorsque la génération du fichier est terminée, cliquez sur Terminer.
  8. Si vous avez choisi de créer un fichier de configuration pour automatiser les examens, AppScan 360° enregistre le fichier de configuration d'examen (appscan-config.xml) dans le dossier contenant vos fichiers à examiner. Cliquez sur Terminer pour quitter AppScan Go!
    Vous pouvez quitter l'utilitaire à ce stade et le reprendre plus tard, vous connecter au service AppScan 360° et configurer et exécuter l'examen maintenant, ou utiliser le fichier de configuration pour automatiser l'examen à l'aide de l'un des plug-ins répertoriés.
    Remarque : Pour plus d'informations sur l'utilisation des fichiers de configuration, voir Configuration de la génération de fichier IRX avec l'interface de ligne de commande.
  9. Ouvrez AppScan 360° pour consulter le statut ou les résultats de l'examen, ou pour lancer un examen avec le fichier IRX généré par AppScan Go!