角色和工作流程
AppScan 360° SAST 角色
並非所有與 AppScan 360° SAST 相關的動作都是由同一個人執行,雖然也可以這麼安排。AppScan 360° SAST 具有兩個可能重疊也可能不會重疊的使用者角色,具體取決於公司政策。
- 管理者角色
管理員角色會下載 AppScan 360° SAST 和部署容器,以供使用者掃描。容器的數量和功能由組織決定。管理員也可能負責安裝 AppScan 中央平台 並授予使用者權限。
文件此部分的大部分內容都適用於AppScan 360° SAST 管理員。
- 使用者角色
使用者角色是在 AppScan 360° 中執行掃描(或使用 AppScan 360°、AppScan 360° 或 DevOps 外掛程式)、監控掃描狀態和處理掃描結果的人員。
在大多數情況下,使用者角色將無法看到 AppScan 360° SAST 後端。使用者將視需要掃描並處理掃描結果。
掃描結構
掃描由兩個主要步驟組成:
preparer步驟會處理原始碼內容(原始碼、建置構件等),並產生內部表示法(IRX 檔案)。analyzer步驟則會評估內部表示法檔案,以產生內含分析結果的評估。
對 AppScan 360° 靜態分析 代理程式的要求可能涉及按順序執行的兩個步驟,或是單獨執行的其一步驟。AppScan 360° 靜態分析 代理程式會辨識所提供的內容類型,以決定完成掃描所需的步驟:
- 若將含有原始碼及/或建置構件的保存檔提供給 AppScan 360° SAST 儲存器,則會叫用
preparer和analyzer步驟以完成掃描。 - 若將 IRX 匯入AppScan 360° 並因此提供給AppScan 360° SAST 容器,則只會叫用分析步驟以完成掃描。
SAClientUtil(CLI) 可用於本端prepare(產生)IRX。然後將檔案匯入 AppScan 360° 以進行分析。SAClientUtil可從 AppScan 360° 下載。
從 AppScan 360° 傳至 AppScan 360° SAST 的掃描要求會以非同步方式處理。 AppScan 360° 顯示掃描狀態並指示完成。完成後,使用者可以:
- 提取結果:取得成功完成掃描的結果。這些結果可在 AppScan 360° 中檢視和自動管理。
- 提取日誌:取得與掃描相關聯的日誌。此要求可用於疑難排解。
管理員工作流程
AppScan 360° 靜態分析 的標準管理員工作流程為:
- 下載 AppScan 360° 靜態分析
- 部署 AppScan 360° SAST 容器
- 疑難排解問題
- 升級 AppScan 360° SAST
使用者工作流程
AppScan 360° 靜態分析 與 AppScan 360° 搭配使用時常見的使用者工作流程包括:
- 掃描原始碼和建置構件。
- 在本端產生 IRX 並進行掃描。
掃描原始碼和建置構件
- 在適用的情況下,建立包含原始碼和建置構件的保存檔。
- 將保存檔匯入至 AppScan 360°。
- 開始在 AppScan 360° 中進行掃描。
- 檢查處理中的掃描狀態。狀態回應包含掃描完成時發現結果(高、中和低問題的數量)的指標,以協助在 DevOps 建置管線中建置管理。
- 掃描完成後,在 AppScan 360° 中開啟結果檔案。
- 重複這些步驟以在資源可用性中同時執行掃描。
- 執行
SAClientUtil以產生 IRX。 - 將 IRX 匯入至 AppScan 360°。
- 開始在 AppScan 360° 中進行掃描。
- 檢查處理中的掃描狀態。狀態回應包含掃描完成時發現結果(高、中和低問題的數量)的指標,以協助在 DevOps 建置管線中建置管理。
- 掃描完成後,在 AppScan 360° 中開啟結果檔案。
- 重複這些步驟以在資源可用性中同時執行掃描。