设置 Static Analyzer Command Line Utility
对于静态分析,下载小型 Command Line Utility。将该实用程序解压缩到本地磁盘时,可以使用其命令行界面 (CLI) 来执行安全性分析。
关于此任务
使用静态分析时,扫描源代码以生成将上载到云的文件。使用跟踪分析来扫描文件(加密 IRX (.irx) 文件)以查找安全漏洞。
- 针对编译的语言生成 IRX 文件时,应用程序字节代码文件将转换为代码的中间表示。
- 针对脚本编制语言生成 IRX 文件时,源文件将包含在加密 IRX 文件中。
重要: Command Line Utility 不应该放在包含非 ASCII 字符的目录中。
过程
要设置 Command Line Utility:
- 启动创建扫描向导。
- 单击 SAST 下的创建扫描。
- 单击上载要扫描的存档文件。
-
在生成 IRX 文件下面,选择计划运行 Command Line Utility 的平台,然后单击下载。这将下载
SAClientUtil_<version>_<os>.zip文件(其中,<version> 是 Command Line Utility 的当前版本,<os> 是 Command Line Utility 所适用的操作系统。注: 可再次打开欢迎表单,方法是选择表单中的我如何创建 IRX 文件?来选择 IRX 文件。 - 将文件抽取到本地驱动器。
-
如果计划将 CLI 用于IRX 文件生成,上载IRX 文件或管理扫描:将解压缩的
SAClientUtil_<version>_<os>.zip文件所在的 \bin 目录位置添加到PATH环境变量。如果未执行此操作,则每次发出命令时,都需要使用解压缩的SAClientUtil_<version>_<os>.zip文件的 \bin 目录来限定所有命令。提示: 更改PATH后,在命令提示符上发出appscan version(Windows™) 或appscan.sh version(Linux™ 和 macOS)。如果返回了 Static Analyzer Command Line Utility 版本、主目录和其他信息,则表示PATH已正确设置。
下一步做什么
如果要在代理之后的计算机上运行 Command Line Utility,请使用以下某个用于指定代理的方法,以便 Command Line Utility 可连接到云:
- Command Line Utility CLI 和受支持集成开发环境 (IDE):设置该全局或系统环境变量,以便可自动识别代理:
- Windows:
APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port> - Linux 和 macOS:
APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
其中
<proxy>是代理服务器的主机名,<port>是代理服务器正在使用的端口号。或者,每次使用 CLI 时,可通过发出以下命令将 Command Line Utility 设置为使用代理:
- Windows™:
set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>" - Linux™ 和 macOS:
export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
- Windows:
注: 为了充分利用 AppScan 360° 功能,Static Analyzer Command Line Utility 和所有插件必须是最新版本:
- 会定期发布 Static Analyzer Command Line Utility 更新。更新可能包括:
- 新语言支持
- 更新的语言支持(例如,与受支持语言相关联的新文件类型)
- 新功能
- 修复
- 插件在运行时会自动下载最新版本的 Static Analyzer Command Line Utility。
- 如果尝试使用过时版本的 Static Analyzer Command Line Utility 准备用于扫描的代码,您可能会看到一条消息,指示您将实用程序更新到最新版本。升级至最新版本的 Static Analyzer Command Line Utility,具体取决于您的操作系统。
- 如果您正在使用 AppScan Go!,请接受并安装最新更新(如果提供了更新)。