役割とワークフロー

AppScan 360° SAST のロール

AppScan 360° SAST に関連するアクションは、すべて同じ個人が実行するとは限りません。ただし、同じ個人が実行する場合もあります。AppScan 360° SAST には、会社のポリシーによっては重複する可能性があるロールが 2 つあります。

管理者ロール (Administrator role)
管理者ロールでは、AppScan 360° SAST をダウンロードして、ユーザーがスキャンするためのコンテナーを配置します。コンテナーの数と機能は、組織で判断します。管理者は、AppScan Central Platform をインストールしてユーザー許可を付与する責任を負う場合もあります。
本資料のこの箇所に示す内容のほとんどは、AppScan 360° SAST 管理者に適用されます。
ユーザー・ロール
ユーザー・ロールでは、個人が AppScan 360° で (または AppScan Go!、Static Analyzer コマンド行ユーティリティー、または DevOps プラグインを使用して) スキャンの実行、スキャン状況の監視、およびスキャン結果の操作を行います。
ほとんどの場合、AppScan 360° SAST のバックエンドはユーザー・ロールには表示されません。ユーザーはスキャンし、必要に応じて、スキャン結果を操作します。

スキャンは、次の 2 つの主要なステップで構成されています。

AppScan 360° 静的分析エージェントへの要求は、両方のステップを順番に実行するか、どちらかを単独で実行して行われます。AppScan 360° 静的分析エージェントは、指定されたコンテンツのタイプを見分けて、スキャンを完了するために必要なステップを決定します。

ソース・コードやビルド成果物を含むアーカイブが AppScan 360° SAST コンテナーに提供されると、スキャンを完了するために preparer と analyzer のステップが呼び出されます。
IRX が AppScan 360° にインポートされ、AppScan 360° SAST コンテナーに提供されると、スキャンを完了するために分析ステップのみが呼び出されます。
SAClientUtil (CLI) を使用して、IRX をローカルに prepare (生成) できます。次に、ファイルは分析のために AppScan 360° にインポートされます。SAClientUtil は、AppScan 360° からダウンロードできます。

AppScan 360° から AppScan 360° SAST へのスキャン要求は、非同期で処理されます。 AppScan 360° は、スキャン状況を表示し、完了を示します。完了後、ユーザーは以下を実行できます。

AppScan 360° 静的分析の標準的な管理者ワークフローは、以下のとおりです。

AppScan 360° と組み合わせた場合の AppScan 360° 静的分析の一般的なユーザー・ワークフローには、以下のようなものがあります。

ソース・コードとビルド成果物のスキャン

ソース・コードとビルド成果物を含むアーカイブを作成します (該当する場合)。
アーカイブを AppScan 360° にインポートします。
AppScan 360° でスキャンを開始します。
処理中のスキャンの状況を確認します。状況の応答には、DevOps ビルド・パイプラインでビルド管理がしやすいように、スキャンが完了したときの検出結果に関するメトリック (「高」、「中」、「低」の問題の数) が含まれます。
スキャンが完了したら、AppScan 360° で結果ファイルを開きます。
これらの手順を繰り返して、リソースの可用性の範囲でスキャンを同時に実行します。

ローカルでの IRX の生成と IRX のスキャン

SAClientUtil を実行して IRX を生成します。
IRX を AppScan 360° にインポートします。
AppScan 360° でスキャンを開始します。
処理中のスキャンの状況を確認します。状況の応答には、DevOps ビルド・パイプラインでビルド管理がしやすいように、スキャンが完了したときの検出結果に関するメトリック (「高」、「中」、「低」の問題の数) が含まれます。
スキャンが完了したら、AppScan 360° で結果ファイルを開きます。
これらの手順を繰り返して、リソースの可用性の範囲でスキャンを同時に実行します。