構成コマンド (Windows)

構成コマンドを使用して、スキャンするファイルを準備します。

appscan prepare

構文:

appscan prepare -c <configuration_file> -d <save_path> -es, --enableSecrets -jdk <jdk_path> -l <log_path> -n <file_name>   -s <value> -sco,--sourceCodeOnly -so, --secretsOnly -t,--thirdParty -v,--verbose -X,--debug

説明:

IRX ファイルを生成します。
注: コードをスキャンするか、IRX ファイルを生成する際に、最新の Static Analyzer コマンド行ユーティリティー への更新に関するメッセージを受け取ることがあります。コマンド行ユーティリティー (CLI) のサポート」を参照してください。

オプションのフラグ/設定:

  • -c: このオプションは、スキャンの構成に使用します。
  • -d: -d <save_path> と指定します。<save_path> には IRX ファイルの保存先ディレクトリーが入ります。
  • -dr, --dryrun: -dr or --dryrun を指定してスキャン対象を見つけて検証しますが、.irx ファイルは生成しません。
  • -ds, --disableSecrets: -ds または --disableSecrets を指定して、シークレットのスキャンを無効にします。シークレット・スキャンは組織レベルで有効または無効になります。-ds をここで使用すると、組織の設定を上書きします。
  • -es, --enableSecrets: -es または --enableSecrets を指定して、秘密のスキャンを有効にします。シークレット・スキャンは組織レベルで有効または無効になります。-es をここで使用すると、組織の設定を上書きします。
  • -jdk: -jdk <jdk_path> と指定して、デフォルトの JDK 17 の代わりに使用される JDK インストールへのパスを指定します。構成ファイル (-c <configuration_file>) と jdk_path 属性の両方を使用した場合は、構成ファイルで指定された値が優先されます。
  • -l: -l <log_path> と指定します。<log_path> にはログ・ファイルの保存先ディレクトリーが入ります。
  • -n: -n <file_name> と指定します。<file_name> には IRX ファイルの名前が入ります。ファイル名を指定する際に、ファイル拡張子 .irx は付けても付けなくてもかまいません。ファイル拡張子なしで指定すると、ファイル生成時に自動的に拡張子が付けられます。
  • -s: -s <value> と指定して、スキャンの速度と深さを指定します。<value> には simplebalanceddeep、または thorough が入ります。コマンド行で指定しスキャンの速度は、AppScan Go! で選択できるスキャンの速度に対応しています。
    • simple スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を特定します。完了に要する時間が最も短いスキャンです。
    • balanced スキャンでは、中程度の詳細レベルでセキュリティー問題の分析および特定を行うことができ、「simple」スキャンよりは完了までに多少時間がかかります。
    • deep スキャンでは、ファイルの徹底的な分析を実行して脆弱性を特定します。通常、完了までにより多くの時間がかかります。
    • thorough スキャンでは、包括的な分析を実行して、最も包括的な脆弱性リストを特定し、完了までに最も長い時間がかかります。
      注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、simple スキャンでレポートされる可能性のある誤検出が thorough 分析では除外されるため、レポートされる脆弱性が少なくなることがあります
    注: このオプションのパラメーターは大文字小文字を区別します。スキャンの速度が指定されていない場合は、クライアント・ユーティリティーは deep スキャンをデフォルトで実行します。
  • -sao: 静的分析のみを実行する場合は -sao を指定します。
  • -sco, --sourceCodeOnly: -sco または --sourceCodeOnly を指定して、ソース・コード・ファイルのみをスキャンします。この設定では、.dll.exe.jar.war など、サポートされている他のファイル・タイプのスキャンが無効になります。

    ソース・コードのみのスキャンは、ソース・コードへのアクセス権限のみを持っている場合、より高速なスキャンを実行したい場合、またはスキャンの深さよりも速度を優先したい場合に便利です。ビルド出力へのアクセス権限のみを持っている場合、またはスキャンの速度よりも深さを優先する場合は、代替スキャン・オプションを選択します。

    注: 組み込まれているソース・コードのみのファイル・タイプのリストについては、「静的分析の言語サポート 」を参照してください。
  • -so, --secretsOnly: -so または --secretsOnly を指定して、ソース・コードの秘密のみをスキャンします。シークレット・スキャンは組織レベルで有効または無効になります。-so をここで使用すると、組織の設定を上書きします。
  • -t, --thirdParty: デフォルトで、サードパーティーの Java と .NET コードは、IRX ファイルの生成中にスキャンされません。「サード・パーティーの Java と .NET の除外管理」の指示に従って、サードパーティーのコードの除外設定を変更できます。サード・パーティーのコードを含めるには、prepare コマンドを発行するときに -t または --thirdParty オプションを指定します。

    サード・パーティー・コードがスキャンで標準的に除外されるようにする開発者の場合、この設定を使用してサード・パーティー・コードをスキャンに含める必要があります。

  • -v,--verbose: -v または --verbose を指定すると、IRX ファイルの生成中により多くの出力情報が表示されます。
  • -X,--debug: -X または --debug を指定すると、デバッグ・モードでコマンド全体が実行されます。デバッグ・モードで実行すると、トラブルシューティング用のログ・ファイルがより多く生成されます。
ヒント: すべてのコマンドで、オプションは任意の順序で使用できます。

例:

この構成ファイル (c:\my_config_files\my_config.xml) を使用し、IRX ファイルを c:\my_irx_files\my_scan.irx に保存する IRX ファイルを生成するには、次のコマンドを実行します。

appscan prepare -c c:\my_config_files\my_config.xml -d c:\my_irx_files -n my_scan.irx

appscan package

構文:

appscan package -d <save_path> -f <assessment_file> -n <file_name>

説明:

HCL AppScan Source バージョン 9.0 以降の製品で作成された評価ファイル (.ozasmt) を含む IRX ファイルを生成します。
注: コードをスキャンするか、IRX ファイルを生成する際に、最新の Static Analyzer コマンド行ユーティリティー への更新に関するメッセージを受け取ることがあります。コマンド行ユーティリティー (CLI) のサポート」を参照してください。

オプションのフラグ/設定:

  • -d: -d <save_path> と指定します。<save_path> には IRX ファイルの保存先ディレクトリーが入ります。
  • -n: -n <file_name> と指定します。<file_name> には IRX ファイルの名前が入ります。ファイル名を指定する際に、ファイル拡張子 .irx は付けても付けなくてもかまいません。ファイル拡張子なしで指定すると、ファイル生成時に自動的に拡張子が付けられます。
ヒント: すべてのコマンドで、オプションは任意の順序で使用できます。

例:

c:\my_irx_files ディレクトリーで、次のコマンドを実行して、この評価ファイル (c:\my_assessment_files\my_assessment.ozasmt) を含む IRX ファイルを生成できます。

appscan package -f c:\my_assessment_files\my_assessment.ozasmt

結果として得られる IRX ファイルは、c:\my_irx_files に保存されます。

appscan get_pubkey

構文:

appscan get_pubkey -d <save_path>

説明:

インターネットに接続されていないコンピューターで使用するためには、公開暗号鍵をダウンロードします。

インターネットに接続されているコンピューターから IRX ファイルを生成している場合は、prepare コマンドを発行するときに暗号鍵が自動的にダウンロードされるため、このコマンドは不要です。コンピューターに暗号鍵が既に存在する場合は、prepare コマンドを発行すると、必要に応じて暗号鍵が更新されます。

ただし、インターネットに接続されていないコンピューターから IRX ファイルを生成している場合は、このコマンドを使用して暗号鍵をダウンロードできます。その後、IRX ファイルの生成時に使用するために、インターネットに接続されていないコンピューターに暗号鍵をコピーできます。そのコンピューターで暗号鍵を使用するには、rsa.pub ファイル名を維持し、そのファイルを抽出された SAClientUtil_<version>_<os>.zip ファイルの config ディレクトリーに置きます (<version>コマンド行ユーティリティー の現在のバージョンです)。

注: 使用する暗号鍵は、最新のものである必要があります。IRX ファイルを古い暗号鍵で生成すると、アップロード時に IRX ファイルが拒否されます。ご使用のコンピューターがインターネットに接続されている場合は、prepare コマンドを再発行すると、暗号鍵が自動的に更新されます。ご使用のコンピューターがインターネットに接続されていない場合は、get_pubkey コマンドを使用する必要があります。

オプションのフラグ/設定:

  • -d: -d <save_path> と指定します。<save_path> には、暗号鍵の保存先ディレクトリーが入ります。このオプションが指定されていない場合、鍵は、抽出された SAClientUtil_<version>_<os>.zip ファイルの config ディレクトリーに保存されます。