AppScan Go! を使用したスキャンの構成

AppScan Go! を使用して静的スキャンを構成します。その後、クラウドでスキャンを実行することも、プラグインを使用してスキャンを自動化することもできます。

始める前に

初めて AppScan Go! を使用するときは、必要な更新がダウンロードされます。
  1. AppScan 360°「スキャンの作成」をクリックしてウィザードを開き、「静的スキャン」をクリックします。
  2. ユーティリティーをダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、「ダウンロード」をクリックします。
  3. ファイルを解凍して、ユーティリティーをローカル・システムにインストールします。
注: Linux 上の既存の AppScan Go! インストールを新しいバージョンに更新する場合は、-U オプションを指定してインストールを実行します。
注: 必要に応じて、システム・プロキシーを使用するように AppScan Go! を構成します。

このタスクについて

AppScan Go! を使用すると、サービスで分析を実行する前に、ローカルにスキャンを構成できます。

手順

  1. ローカル・システムで AppScan Go! を起動します
    Windows では、「スタート」 > をクリックします。
    スキャンの設定を開始するのに、AppScan 360° サービスにログインする必要はありません。
  2. スキャンするファイルの場所を指定します。スキャンするファイルを含むフォルダーを参照して、「フォルダーの選択」をクリックします。
    AppScan Go! では、フォルダーのみを選択できます。
  3. 検索する問題のタイプとスキャンするファイルのタイプを選択し、「続行」をクリックします。
    すべてのファイル・タイプからすべてのセキュリティー問題をスキャンするか、オープン・ソースのスキャンやソース・コードのみスキャンに基づいてスキャンを変更できます。
  4. AppScan Go! で、選択したフォルダーから適切なファイルが取得され、確認のために一覧表示されます。ファイルを確認、選択、または選択解除して、「続行」をクリックします。
    AppScan 360° により、スキャンの構成ファイル (appscan-config.xml) がスキャン対象ファイルのあるフォルダーに保存されます。この時点でユーティリティーを終了して、のちほど再開することも、AppScan 360° サービスにログインし、今すぐスキャンを構成して実行することもできます。
    注: 構成ファイルを使用した追加情報については、CLI を使用した IRX ファイル生成の構成を参照してください。
  5. 「 新規スキャンの作成」 をクリックして HCL AppScan 360° にログインし、追加のパラメーターを指定するか、サポートされるプラグインを使用してプロジェクトを自動化します。
    注: AppScan 360° に接続してログインできない場合は、最新バージョンの AppScan Go! (バージョン 0.1.7 以降) を使用しているか確認してください。詳しくは「トラブルシューティング」を参照してください。
  6. 次のスキャン・パラメーターを指定し、「スキャンの開始」をクリックしてファイルをアップロードします。
    パラメーター説明
    スキャン名 スキャンの名前を指定するか、AppScan 360° で作成されたデフォルト名をそのまま使用します。
    スキャンに関連付けるアプリケーション スキャンに関連付けるアプリケーションを選択します。
    スキャン速度オプション ニーズおよび時間的要求に応じて、単純スキャン、バランス・スキャン、詳細スキャン、または完全スキャンを選択します。SCA/オープン・ソース・スキャンの場合、スキャン速度は構成できません。
    • simple スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を特定します。完了に要する時間が最も短いスキャンです。
    • balanced スキャンでは、中程度の詳細レベルでセキュリティー問題の分析および特定を行うことができ、「単純」スキャンよりは完了までに多少時間がかかります。
    • deep スキャンでは、ファイルの徹底的な分析を実行して脆弱性を特定します。通常、完了までにより多くの時間がかかります。
    • thorough スキャンでは、包括的な分析を実行して、最も包括的な脆弱性リストを特定し、完了までに最も多くの時間がかかります。
      注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、simple スキャンでレポートされる可能性のある誤検出が thorough 分析では除外されるため、レポートされる脆弱性がより少なくなる場合があります
    個人スキャンとして実行 スキャンを個人的なものにして、包括的なプロジェクト・データに含めないかどうかを指定します。
    スキャン検出結果の準備ができたら E メールで通知 スキャンの完了後に E メールを送信するかどうかを指定します。これは、詳細スキャンの場合に特に便利です。
    AppScan Go! は、ディレクトリーとそのすべてのサブディレクトリーでサポートされているファイルの情報を収集して、そのディレクトリーに IRX ファイルを作成します。次に、AppScan Go! は、生成された IRX ファイルを AppScan 360° サービスにアップロードします。
  7. スキャンのアップロードが完了したら、「完了」をクリックします。
  8. AppScan 360° を開いて、スキャンの状況または結果を確認します。