使用 AppScan Go! 配置掃描
使用 AppScan Go! 配置靜態掃描。然後,您可以在雲端中執行掃描,或使用外掛程式來自動執行掃描。
開始之前
您第一次使用 AppScan Go! 時,它會下載必要的更新:
- 在 AppScan 360° 中,按一下「建立掃描」以開啟精靈,然後按一下「靜態掃描」。
- 選擇要為其下載公用程式的平台(Windows、Mac 或 Linux),然後按一下下載。
- 選擇要為其下載指令行公用程式 (CLI) 的平台(Windows、Mac 或 Linux),然後按一下「下載」。
- 將
SAClientUtil套件解壓縮:從上層SAClientUtil資料夾中,將子項SAClientUtil複製到您的 .appscan 資料夾。必要的話,請建立該資料夾。- Windows: <user_home>\.appscan\
- Linux: <user_home>/.appscan/
- 將 AppScan Go! 檔案解壓縮並且將公用程式安裝至您的本端系統。
- 停用在AppScan Go!設定中的自動更新設定。
註: 如果您要將 Linux 上的現有 AppScan Go! 安裝更新至更新版本,請使用
-U 選項執行安裝。執行這項作業的原因和時機
程序
-
從您的本端系統啟動 AppScan Go!
在 Windows 上,按一下。您不需要登入 AppScan 360° 服務就可以設定掃描。
-
指定要掃描的檔案位置。瀏覽至包含要掃描檔案的資料夾,然後按一下「選取資料夾」。
AppScan Go! 可讓您僅選擇資料夾。
-
選擇您要尋找的問題類型及要掃描的檔案類型,然後按一下「繼續」。
您可以選擇掃描所有檔案類型的各個安全問題,或根據開放原始碼掃描及/或僅限原始碼的掃描來變更掃描。註: SCA(開放原始碼)掃描需要適當的授權。SCA 目前無法在 AppScan 360° 中使用。
-
AppScan Go! 會從選取的資料夾擷取適合的檔案,並列出以供檢閱。檢閱、選取或取消選取檔案,然後按一下「繼續」。
AppScan 360° 會將掃描配置檔 (appscan-config.xml) 與您要掃描的檔案一起儲存到資料夾。您可以在此時結束公用程式,稍後再繼續,或是登入 AppScan 360° 服務,配置並且立即執行掃描。註: 如需使用配置檔的其他資訊,請參閱「使用 CLI 配置 IRX 檔案產生」。 -
按一下建立新的掃描來登入 HCL AppScan 360° 並指定其他參數,或使用支援的外掛程式來將專案自動化。
-
指定下列掃描參數,然後按一下「起始掃描」以上傳檔案:
參數 說明 掃描名稱 指定掃描的名稱,或接受由 AppScan 360° 建立的預設名稱。 要與掃描產生關聯的應用程式 選取要與掃描產生關聯的應用程式。 掃描速度選項(僅 SAST) 根據需求和時間,選擇「簡易」、「平衡」、「深度」或「徹底」。請注意,掃描速度不是SCA/開放程式碼掃描的可配置選項。 simple掃描會執行檔案的表面層次分析,為您識別最需要補救的緊迫問題。此類掃描完成所需的時間最短。balanced掃描提供中等層次的安全問題分析和識別,完成所需的時間比「簡易」掃描稍微久一點。deep掃描會對您的檔案執行更完整的分析,以識別漏洞,通常需要較久的時間才能完成。thorough掃描會執行全面性的分析,識別最全面的漏洞清單,因此完成所需的時間最久。註: 掃描速度與在程式碼中找到的漏洞數目不一定相關。例如,thorough分析可能會排除simple掃描報告中的誤判,因此報告的漏洞較少。
以個人掃描執行 指定掃描是否保持為私密,且不包含於保護傘專案資料中。 掃描發現項目就緒時,透過電子郵件通知我 指定是否在掃描完成時傳送電子郵件。這對於深度掃描特別有幫助。 
AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在目錄中建立 IRX 檔案。接著 AppScan Go! 會將產生的 AppScan Go! 檔案上傳至 AppScan 360° 服務。 -
掃描上傳完成後,請按一下完成。
-
開啟 AppScan 360° 以檢閱掃描的狀態或結果。
