AppScan Go! を使用したスキャンの構成

AppScan Go! は、静的スキャンの設定と実行を手順を説明します。サービスでスキャンを実行するか、プラグインを使用してスキャンを自動化します。

始める前に

AppScan Go! を使用するには、ローカル・システムにインストールします。
  1. AppScan 360°で以下を実行します。
    1. 「スキャンの作成」をクリックして、ウィザードを開いてください。
    2. 「SAST」をクリックします。
    3. 「スキャンするアーカイブのアップロード」をクリックします。
  2. ウィザードの「IRX ファイルの生成」セクションで、ユーティリティーをダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、「ダウンロード」をクリックします。
    重要: AppScan Go! には Static Analyzer コマンド行ユーティリティー (SAClientUtil) が必要です。AppScan 360° ユーザーは、Static Analyzer コマンド行ユーティリティーAppScan Go! を、AppScan 360° のインストールに同梱されているバージョンで使用する必要があります。AppScan on Cloud ユーザーは、AppScan on Cloud サービスからダウンロードしたバージョンを使用する必要があります。両者は交換可能ではありません。
  3. ファイルを抽出して、ユーティリティーをローカル・システムにインストールします。
    • Windows システムでは、appscan-go-2.3.0-installer.exe を起動し、画面の指示に従います。
    • Linux および Mac システムでは、端末から appscan-go-installer.sh を実行します。

    インストールにより、AppScan Go!Static Analyzer コマンド行ユーティリティーが構成されます。

  4. AppScan Go!設定で、自動更新設定を無効にします。
    注: AppScan Go! 起動中にエラーが発生した場合は、「AppScan Go! の自動更新に失敗しました」を参照してください。
注: 必要に応じて、システム・プロキシーを使用するように AppScan Go! を構成します。

このタスクについて

AppScan Go! を使用すると、サービスで分析を実行する前に、ローカルにスキャンを設定できます。

手順

  1. ローカル・システムで AppScan Go! を起動します
    スキャンの設定を開始するのに、AppScan 360° サービスにログインする必要はありません。スキャンを完了するには、ログインしている必要があります
  2. スキャン・メソッドの選択:
    • 完全なスキャンを実行します。
    • IRX ファイルを作成し、後でスキャンを実行します。
    • スキャンを自動化するための設定ファイルを作成します。
  3. スキャンするファイルの場所を指定し、スキャン・モードとタイプを入力して「次へ」をクリックします。
    1. スキャンするプロジェクト・ファイルの場所 (ローカル・ディレクトリーまたはソフトウェア設定管理 (SCM) リポジトリー) を指定します。

      • ローカル・ディレクトリーをスキャンする場合、スキャンするファイルを含むフォルダーを参照して、「フォルダーの選択」をクリックします。AppScan Go! では、フォルダーのみを選択できます。

      • リポジトリーをスキャンする場合は、SCM リポジトリーの URL を入力し、「リポジトリーへ接続」をクリックし、SCM にログインして、正しいブランチを選択します。

      注: Git バージョン 2.40.1 以降がインストールされていること、および認証にパーソナル・アクセス・トークンを使用していることを確認します。
    2. 1 つ以上のスキャン・タイプ (静的分析、ソフトウェア・コンポジション分析 (オープン・ソース)、シークレット・スキャンのいずれか) を指定します。
      注: シークレット・スキャンは組織レベルで有効または無効になっていますが、ここで「シークレット」をオンまたはオフにすると、その設定が上書きされます。
    3. コンパイルされたコード (バイトコード) をスキャンするか、コンパイルされていないソース・コードをスキャンするかを指定します。
      AppScan Go! では、自動的にファイル・セットに最適なスキャン・モードを推奨します。
  4. AppScan Go! で、選択したフォルダーから適切なファイルが取得され、確認のために一覧表示されます。ファイルを確認、選択、または選択解除して、「次へ」をクリックします。
  5. 完全なスキャンを実行するか、IRX ファイルを準備することを選択した場合は、スキャン設定項目を設定してから「次へ」をクリックします。
    注: 使用可能なアプリケーションのリストを表示するには、AppScan 360° にログインしている必要があります。
    設定説明
    スキャン名 スキャンの名前を指定するか、AppScan Go! で作成されたデフォルト名をそのまま使用します。
    関連付けられているアプリケーション 完全なスキャンを実行する場合は、スキャンに関連付けるアプリケーションを選択します。
    スキャン速度オプション (SASTのみ) ニーズおよび時間的要求に応じて、Normalスキャン、Fastスキャン、Fasterスキャン、Fasterstスキャンを選択します。SCA/オープン・ソース・スキャンの場合、スキャン速度は構成可能なオプションではないことに注意してください。
    • normal スキャンでは、包括的な分析を実行して、最も詳細な脆弱性リストを特定し、完了までに最も多くの時間がかかります。
    • fast スキャンでは、ファイルをさらに完全に分析して脆弱性を特定することから、通常 normal スキャンに比べて完了までの時間は長くなります。
    • faster スキャンでは、中程度の詳細レベルでセキュリティー問題の分析および特定を行うことができ、「fastest」スキャンよりも完了までに少し多くの時間がかかります。
    • fastest スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を特定します。完了に要する時間が最も短いスキャンです。
      注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、fastest スキャンでレポートされる可能性のある誤検出が normal 分析では除外されることがあるため、レポートされる脆弱性がより少なくなる場合があります。
    スキャン・プリファレンス 完全なスキャンを実行する場合は、スキャン・プリファレンスを指定します。
    • 個人スキャンとして実行: スキャンを個人的なものにして、包括的なプロジェクト・データに含めないかどうかを示します。
    • 検出結果の準備ができたら E メールで通知: スキャンの完了後に E メールを送信するかどうかを示します。これは、通常スキャンの場合に特に便利です。
    • 介入を許可する: この機能は、AppScan 360° では使用できません。
  6. 完全なスキャンを実行する場合、AppScan Go! は、ディレクトリーおよびそのサブディレクトリー内のサポート対象ファイルの情報を収集し、指定したスキャンの場所に IRX ファイルを作成します。次に、AppScan Go! は、生成された IRX ファイルを AppScan 360° サービスにアップロードします。スキャンのアップロードが完了したら、「完了」をクリックします。
    注: スキャンを完了するには、AppScan サービスにログインしている必要があります。「アカウント情報」を参照してください。
  7. IRX ファイルを作成する場合、AppScan Go! は、ディレクトリーおよびそのサブディレクトリー内のサポートされているファイルの情報を収集し、指定したスキャンの場所に IRX ファイルを作成します。ファイル生成が完了したら、「完了」をクリックします。
  8. スキャンを自動化するための設定ファイルを作成する場合、AppScan 360° は、スキャン構成ファイル (appscan-config.xml) をスキャンするファイルが含まれるフォルダーに保存します。「完了」をクリックして、AppScan Go! を終了します。
    この時点でユーティリティーを終了して後ほど再開することも、AppScan 360° サービスにログインし、今すぐスキャンを設定して実行することもできます。または、以下のいずれかのプラグインを使用して、設定ファイルを使ってスキャンを自動化することができます。
    注: 設定ファイルを使用した追加情報については、CLI を使用した IRX ファイル生成の構成を参照してください。
  9. AppScan 360° を開き、スキャンのステータスまたは結果を確認するか、または AppScan Go! で生成された IRX ファイルを使用してスキャンを開始します。