Static Analyzer コマンド行ユーティリティーのセットアップ

静的分析を行う場合は、小規模な コマンド行ユーティリティー をダウンロードします。ユーティリティーをローカル・ディスクに抽出すると、コマンド行インターフェース (CLI) を使用してセキュリティー分析を実行できます。

このタスクについて

静的分析を使用するときに、ソース・コードをスキャンしてファイルを生成し、さらにスキャンします。暗号化された IRX (.irx) ファイルをトレース分析を使用してスキャンし、セキュリティーの脆弱性を検出します。
  • コンパイラー型言語に対応する IRX ファイルが生成されると、アプリケーション・バイト・コード・ファイルはコードの中間表現に変換されます。
  • スクリプト言語に対応する IRX ファイルが生成されると、ソース・ファイルは暗号化された IRX ファイルに含められます。
重要: コマンド行ユーティリティー を非 ASCII 文字を含むディレクトリーに保存しないでください。
注: IRX を使用して AppScan Go! ファイルを生成するには、「AppScan Go! を使用したスキャンの構成」の手順に従ってください。

手順

コマンド行ユーティリティー をセットアップするには、次の手順を実行します。
  1. スキャンの作成ウィザードを起動します。
    重要: AppScan Go! には Static Analyzer コマンド行ユーティリティー (SAClientUtil) が必要です。AppScan 360° ユーザーは、Static Analyzer コマンド行ユーティリティーAppScan Go! を、AppScan 360° のインストールに同梱されているバージョンで使用する必要があります。AppScan on Cloud ユーザーは、AppScan on Cloud サービスからダウンロードしたバージョンを使用する必要があります。両者は交換可能ではありません。
  2. SAST の下にある「スキャンの作成」をクリックします。
  3. 「スキャンするアーカイブのアップロード」をクリックします。
  4. 「IRX ファイルの生成」の下で、コマンド行ユーティリティー を実行する予定のプラットフォームを選択し、次に「ダウンロード」をクリックします。これにより、SAClientUtil_<version>_<os>.zip ファイルがダウンロードされます (<version> は、最新バージョンのコマンド行ユーティリティー<os> は、コマンド行ユーティリティー用のオペレーティング・システムです)。
    注: フォームでIRX ファイルを作成するには?」を選択してウェルカム・フォームをもう一度開くと、IRX ファイルを選択できます。
  5. ファイルをローカル・ドライブに抽出します。
  6. CLI を使用して IRX ファイルを生成したりIRX ファイルをアップロードしたり、スキャンを管理したりする場合は、抽出された SAClientUtil_<version>_<os>.zip ファイルの \bin ディレクトリーの場所を PATH 環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、抽出された SAClientUtil_<version>_<os>.zip ファイルの \bin ディレクトリーを使用してすべてのコマンドを修飾しなければならなくなります。
    ヒント: PATH の変更後に、コマンド・プロンプトで appscan version (Windows) または appscan.sh version (Linux と macOS) を発行します。Static Analyzer コマンド行ユーティリティーのバージョン、ホーム、およびその他の情報が返された場合は、PATH が正しく設定されています。

次のタスク

プロキシー内にあるコンピューターで コマンド行ユーティリティー を実行している場合は、次のいずれかの方法でプロキシーを指定します。

  • コマンド行ユーティリティー CLI およびサポートされている統合開発環境 (IDE): このグローバルまたはシステム環境変数を設定し、プロキシーが自動的に認識されるようにします。
    • Windows: APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
    • Linux と macOS: APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"

    この場合、<proxy> にはプロキシー・サーバーのホスト名が入り、<port> にはプロキシー・サーバーが使用するポート番号が入ります。

    あるいは、CLI を使用するたびに、次のコマンドを実行して、プロキシーを使用するよう コマンド行ユーティリティー を設定できます。

    • Windows: set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
    • Linux と macOS: export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
注: AppScan 360° の機能を最大限に活用するには、Static Analyzer コマンド行ユーティリティーおよびすべてのプラグインを最新の状態に保つ必要があります。
  • Static Analyzer コマンド行ユーティリティー の更新は定期的に提供され、。更新には、以下のものが含まれます。
    • 新しい言語サポート
    • 言語サポートの更新 (サポートされる言語に関連付けられる新しいファイル・タイプなど)
    • 新機能
    • 修正
  • プラグインの実行時に、最新の Static Analyzer コマンド行ユーティリティー が自動的にダウンロードされます。
  • Static Analyzer コマンド行ユーティリティー の旧バージョンを使用してスキャン用のコードを作成しようとすると、ユーティリティーを最新バージョンに更新するように求めるメッセージが表示される場合があります。使用しているオペレーティング・システム に基づいて、最新の Static Analyzer コマンド行ユーティリティーにアップグレードします。
  • AppScan Go! を使用していて、更新が提供されている場合は、最新の更新を受け入れてインストールします。