角色和工作流程
AppScan 360° SAST 角色
并非所有与 AppScan 360° SAST 相关的操作都由同一个人执行,但的确可以这样做。AppScan 360° SAST 有两个用户角色可重叠,也可不重叠,具体取决于公司策略。
- 管理员角色
管理员角色下载 AppScan 360° SAST 并部署容器以供用户扫描。容器的数量和功能是一项组织决策。管理员还可能负责安装 AppScan Central Platform 和授予用户许可权。
本部分文档中的大多数内容适用于 AppScan 360° SAST 管理员。
- 用户角色
用户角色是在 AppScan 360° 中(或使用 AppScan 360°、AppScan 360° 或 DevOps 插件)中运行扫描,监控扫描状态和处理扫描结果的人员。
在大多数情况下,用户角色不会看到 AppScan 360° SAST 后端。用户将根据需要扫描并处理扫描结果。
扫描剖析
扫描包括两个主要步骤:
preparer步骤处理源内容(源代码、构建工件等)并生成内部表示(IRX 文件)。analyzer步骤评估内部表示文件,以生成包括分析结果的评估。
向 AppScan 360° Static Analysis 代理程序提出的请求可能涉及按顺序执行的两个步骤或单独执行的任一步骤。AppScan 360° Static Analysis 代理程序识别提供的内容类型,以确定完成扫描所需的步骤:
- 如果向 AppScan 360° SAST 容器提供了包含源代码和/或构建工件的存档,将调用
preparer和analyzer步骤来完成扫描。 - 如果将 IRX 导入到 AppScan 360°,从而提供给 AppScan 360° SAST 容器,则仅调用分析步骤来完成扫描。
SAClientUtil(CLI) 可用于本地prepare(生成)IRX。然后将文件导入 AppScan 360° 以进行分析。可从 AppScan 360° 下载SAClientUtil。
从 AppScan 360° 到 AppScan 360° SAST 的扫描请求将异步处理。 AppScan 360° 显示扫描状态并指示完成。完成后,用户可以:
- 访存结果:获取成功完成的扫描的结果。可以在 AppScan 360° 中自动查看和管理这些结果。
- 访存日志:获取与扫描关联的日志。此请求可用于故障诊断。
管理员工作流程
AppScan 360° Static Analysis 的标准管理员工作流程是:
- 下载 AppScan 360° Static Analysis
- 部署 AppScan 360° SAST 容器
- 对问题进行故障诊断
- 升级 AppScan 360° SAST
用户工作流程
将 AppScan 360° Static Analysis 与 AppScan 360° 结合使用的常用用户工作流程包括:
- 扫描源代码和构建工件。
- 在本地生成 IRX 并进行扫描。
扫描源代码和构建工件
- 创建包含源代码的存档,并在适用的情况下构建工件。
- 将档案导入到 AppScan 360°。
- 在 AppScan 360° 中启动扫描。
- 检查正在进行的扫描的状态。状态响应包含扫描完成后的结果度量(高、中和低问题数量),以促进 DevOps 构建管道中的构建管理。
- 扫描完成后,在 AppScan 360° 中打开结果文件。
- 重复这些步骤以在资源可用性中同时运行扫描。
- 运行
SAClientUtil以生成 IRX。 - 将 IRX 导入到 AppScan 360°。
- 在 AppScan 360° 中启动扫描。
- 检查正在进行的扫描的状态。状态响应包含扫描完成后的结果度量(高、中和低问题数量),以促进 DevOps 构建管道中的构建管理。
- 扫描完成后,在 AppScan 360° 中打开结果文件。
- 重复这些步骤以在资源可用性中同时运行扫描。