静的分析クライアントのサポート

このトピックでは、サポートされているオペレーティング・システムと、静的分析を実行する場合に AppScan 360° でスキャンできるプロジェクトについて説明します。

オペレーティング・システムのサポート

HCL AppScan 360° クライアントは、以下のオペレーティング・システムでサポートされています。
  • Windows: HCL AppScan 360° は 64 ビット・システムでサポートされ、64 ビット・モードで実行されます。
  • macOS: HCL AppScan 360° は 64 ビット・システムでサポートされ、64 ビット・モードで実行されます。
  • Linux: HCL AppScan 360° は 64 ビット・システムでのみサポートされます。

コマンド行ユーティリティーのサポート

アプリケーション・サーバーのサポート

コマンド行ユーティリティー には、基本的な JavaServer Page のコンパイルに使用される Apache Tomcat バージョン 7 アプリケーション・サーバー .jar ファイルが含まれます。互換性を高めるため、各自所有のアプリケーション・サーバーを使用するよう CLI を構成できます (サポートされるアプリケーション・サーバーには、Apache Tomcat バージョン 7 以上、WebSphere® Application Server バージョン 7、8.0、および 8.5.x、Oracle Weblogic Server バージョン 10.3 および 12.x が含まれます)。

コマンド行ユーティリティー およびバージョン互換性

Static Analyzer コマンド行ユーティリティー のバージョンが、以下の場合に自動的にチェックされます。

  • Windowsappscan prepare コマンドを、または Linux と macOSappscan.sh prepare コマンドを発行する。
  • 静的分析プラグインがインストールされている統合開発環境で 「静的分析の実行」 アクションを使用する。
  • prepare オプションを使用して Maven プロジェクトの IRX ファイルを生成する。
  • Windowsappscan queue_analysis コマンドを、または Linux と macOSappscan.sh queue_analysis コマンドを使用して、IRX ファイルをアップロードする。
  • IRX ファイルをクラウドにアップロードする。
prepare または 「静的分析の実行」 のいずれかのアクションを実行すると、コマンド行ユーティリティー の新しいバージョンが使用可能であることを通知するメッセージが表示される場合があります。この場合、コマンド行ユーティリティー をアップグレードせずに続行することも、コマンド行ユーティリティー をアップグレードして新しい機能を利用することもできます。
注: 互換性を確保するには、Static Analyzer コマンド行ユーティリティーAppScan 360° サーバーからダウンロードする必要があります。

現在サポートされていないコマンド行ユーティリティー のバージョンを使用して上記のいずれかのアクションを実行すると、コマンド行ユーティリティー の更新を求めるメッセージが表示されます。この場合、最新の コマンド行ユーティリティー をダウンロードしてセットアップします

プラグインのサポート

Jenkins のサポート

AppScan 360° Jenkins プラグインを使用すると、動的分析および静的分析のビルド手順を Jenkins のビルド・プロジェクトに追加できます。プラグインは Jenkins バージョン 2.222.4 以降にインストールできます。このプラグインから、Cloud MarketplaceAppScan 360° サービスに接続できます。

Visual Studio Team Services/Team Foundation Server (Azure DevOps) のサポート

Visual Studio Team Services/Team Foundation Server (Azure DevOps) プラグインを使用すると、VSTS プロジェクトや TFS プロジェクトの静的スキャンおよび動的スキャンを実行できます。 HCL AppScan 360° は、TFS バージョン 2018 Update 2 以降をサポートします。プラグインについて詳しくは、Azure DevOps Services プラグインのインストールと使用を参照してください。

AppScan Go! のサポート

AppScan Go! は、WindowsLinux、および Mac でサポートされています。

REST API

REST API 経由の通信は、DevOps ツールと統合しやすくするためにスクリプト化できます。AppScan 360° 静的分析 に対応する DevOps プラグインは、将来利用可能になります。
言語 ソース・コードのアップロード ソース・コード + ビルド成果物のアップロード IRX のアップロード (ローカルで IRX を生成)
C/C++ 言語サポート・テーブルで「ソース・コードのみ」としてリストされているファイル・タイプをスキャンします。1 言語サポート・テーブルのデフォルトのコンテンツにリストされているバイト・コード・ファイル・タイプをスキャンします。
Java および Java Web コンテンツ N/A
  • .jar

    config ファイルを使用して、スキャン・ターゲットと依存関係をカスタマイズします。

  • .class

    クラス・ファイルを含むディレクトリー構造をアーカイブします。

  • .war
    注: Tomcat は、デフォルトの JSP コンパイラーです。
  • .ear

  • .jar および .class、すべての依存関係をアーカイブに含めることができない場合
  • .war、JSP のコンパイルに Tomcat 以外の Web サーバーが必要な場合
.NET 言語サポート・テーブルで「ソース・コードのみ」としてリストされているファイル・タイプをスキャンします。1 言語サポート・テーブルのデフォルトのコンテンツにリストされているバイト・コード・ファイル・タイプをスキャンします。
その他

Always (3. 常に使用する)appscan-config は必要ありません。

アーカイブには、スキャン対象のターゲット・コードのディレクトリー構造全体が含まれている必要があります。

  1. ソース・コードのみのオプションでは、依存関係を解決せずにソース・コードのスキャンを実行します。構成ファイルでソース・コードのみのオプションを次のように設定します。
    <?xml version="1.0" encoding="UTF-8"?>
    <Configuration sourceCodeOnly="true">
      <Targets>
       <Target path=./SimpleIOT" />
      </Targets>
    </Configuration>