使用 AppScan Go! 配置掃描

AppScan Go! 會逐步引導您設定和執行靜態掃描。您可以在雲端中執行掃描,或使用外掛程式來自動執行掃描。

開始之前

您第一次使用 AppScan Go! 時,它會下載必要的更新:
  1. AppScan 360° 中,按一下「建立掃描」以開啟精靈,然後按一下「SAST」。
  2. 選擇要為其下載公用程式的平台(Windows、Mac 或 Linux),然後按一下下載
  3. 選擇要為其下載指令行公用程式 (CLI) 的平台(Windows、Mac 或 Linux),然後按一下「下載」。
  4. 解壓縮 SAClientUtil 套件。從上層 SAClientUtil 資料夾中,將子項 SAClientUtil 複製到您的 .appscan 資料夾。必要的話,請建立該資料夾。
    • Windows: <user_home>\.appscan\
    • Linux: <user_home>/.appscan/
  5. AppScan Go! 檔案解壓縮並且將公用程式安裝至您的本端系統。
  6. 停用在AppScan Go!設定中的自動更新設定。
註: 如果在 AppScan Go! 啟動期間發生錯誤,請參閱 AppScan Go! 的自動更新失敗
註: 如果您要將 Linux 上的現有 AppScan Go! 安裝更新至更新版本,請使用 -U 選項執行安裝。
註: 必要的話,請配置 AppScan Go! 以使用系統 Proxy

執行這項作業的原因和時機

使用 AppScan Go! 可讓您先行在本端配置掃描,然後在服務中執行分析。

程序

  1. 從您的本端系統啟動 AppScan Go!
    您不需要登入 AppScan 360° 服務就可以設定掃描。您確實需要登入才能完成掃描。
  2. 選擇掃描方法:
    • 執行完整掃描。
    • 建立一個 IRX 檔案,稍後再執行掃描。
    • 建立配置檔以進行自動掃描。
  3. 指定要掃描的檔案位置、掃描模式和類型,然後按一下「下一步」。
    1. 瀏覽至包含要掃描檔案的資料夾,然後按一下「選取資料夾」。AppScan Go! 可讓您僅選擇資料夾。
    2. 指出一或多種掃描類型:靜態分析、軟體組成分析(開放原始碼)或秘密掃描。
      註: SCA(開放原始碼)掃描需要適當的授權。SCA 目前無法在 AppScan 360° 中使用。
    3. 指定是否要掃描編譯的程式碼(位元組代碼)或未編譯的原始碼。
      AppScan Go! 會自動建議檔案集的最佳掃描模式。
  4. AppScan Go! 會從選取的資料夾擷取適合的檔案,並列出以供檢閱。檢閱、選取或取消選取檔案,然後按「下一步」。
  5. 如果您改選執行完整掃描,或準備一個 IRX 檔案,請設定掃描設定,然後按「下一步」。
    註: 您必須登入 AppScan 360° 才能查看可用應用程式的清單。
    設定說明
    掃描名稱 指定掃描的名稱,或接受由 AppScan 360° 建立的預設名稱。
    相關聯的應用程式 執行完整掃描時,請選擇要與掃描建立關聯的應用程式。
    掃描速度選項(僅 SAST) 根據需要與時間需求,選擇「一般」、「快速」、「較快」或「最快」的掃描。請注意,掃描速度不是 SCA/開放原始碼掃描的可配置選項。
    • normal 掃描會執行綜合性的分析,識別最詳細的漏洞清單,因此完成所需的時間最久。
    • fast 掃描會對您的檔案執行更完整的分析,以識別漏洞,通常需要較久的時間才能完成。
    • faster 掃描提供中等層次的安全問題分析和識別,完成所需的時間比「最快」掃描稍微久一點。
    • fastest 掃描會執行檔案的表面層次分析,為您識別最需要補救的緊迫問題。此類掃描完成所需的時間最短。
      註: 掃描速度與在程式碼中找到的漏洞數目不一定相關。例如,normal 分析可能會排除 fastest 掃描報告中的誤判,因此報告的漏洞較少。
    掃描喜好設定 執行完整掃描時,請指定掃描喜好設定:
    • 以個人掃描執行:指示掃描是否保持為私密,且不包含於保護傘專案資料中。
    • 發現項目就緒時,透過電子郵件通知我:指示是否在掃描完成時傳送電子郵件。這對於一般掃描特別有幫助。
  6. 如果您改選執行完整掃描,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在 <user_home>/.appscan/temp 目錄中建立 IRX 檔案。接著 AppScan Go! 會將產生的 IRX 檔案上傳至 AppScan 360° 服務。掃描上傳完成後,請按一下完成
    註: 您必須登入 AppScan 服務才能完成掃描。請參閱帳戶資訊
  7. 如果您改選建立 IRX 檔案,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在 <user_home>/.appscan/temp 目錄中建立 IRX 檔案。檔案產生完成後,按一下「完成」。
  8. 如果您選擇建立配置檔以進行自動掃描,AppScan 360° 會將掃描配置檔 (appscan-config.xml) 連同您要掃描的檔案儲存至資料夾。按一下「完成」,以結束 AppScan Go!
    此時您可以結束公用程式,稍後再繼續執行;登入 AppScan 360° 服務並立即設定和執行掃描,或使用所列其中一個外掛程式來自動掃描配置檔。
    註: 如需使用配置檔的其他資訊,請參閱「使用 CLI 配置 IRX 檔案產生」。
  9. 開啟 AppScan 360° 以檢閱掃描的狀態或結果,或使用 AppScan Go! 產生的 IRX 檔案開始掃描