Commandes de configuration (Linux et macOS)

Utilisez les commandes de configuration pour préparer vos fichiers au balayage.

appscan.sh prepare

Syntaxe :

appscan.sh prepare -c <configuration_file> -d <save_path> -es, --enableSecrets -jdk <jdk_path> -l <log_path> -n <file_name> -nc, --noConfigFile -oso -s <value> -sco,--sourceCodeOnly -so, --secretsOnly -t,--thirdParty -v,--verbose -X,--debug

Description :

Générez un fichier IRX.

Remarque : Lorsque vous examinez du code ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire de ligne de commande Static Analyzer le plus récent. Voir Support de l'utilitaire de ligne de commande (CLI).

Indicateurs/paramètres en option :

  • -c : cette option sert à configurer un examen.
  • -d : Indiquez -d <save_path>, où <save_path> est le répertoire dans lequel vous souhaitez sauvegarder le fichier IRX.
  • -dr, --dryrun: Indiquez -dr ou --dryrun pour découvrir et valider les cibles de l'examen, mais pas pour générer un fichier .irx.
  • -es, --enableSecrets: Spécifiez -es ou --enableSecrets pour activer la recherche de secrets via un examen. La recherche de secrets via un examen est désactivée par défaut.
  • -jdk : Indiquez -jdk <jdk_path> pour préciser le chemin d'accès à votre installation JDK à utiliser à la place du JDK 17 par défaut. Si vous utilisez un fichier de configuration (-c <configuration_file>)et que l'attribut jdk_path est utilisé, la valeur spécifiée dans le fichier de configuration est prioritaire.
  • -l : indiquez -l <log_path>, où <log_path> est le répertoire dans lequel vous souhaitez enregistrer les fichiers journaux.
  • -n : Indiquez -n <file_name>, où <file_name> est le nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l’extension de fichier .irx. Si vous l'indiquez sans l'extension, celle-ci est automatiquement ajoutée lors de la génération du fichier.
  • -nc, --noConfigFiles: désactive le traitement des fichiers de configuration pour Software Composition Analysis (SCA).
  • -oso : indiquez -oso afin de ne rechercher que des vulnérabilités connues dans des packages SCA. Lorsque -oso est spécifié, AppScan sur Cloud n'effectue pas d'analyse statique du package.
    Remarque : Lorsqu'un utilisateur dispose d'une licence Open Source, l'analyse SCA fait partie d'un examen statique par défaut. Cette option limite l'analyse aux vulnérabilités SCA. Les utilisateurs doivent disposer d'une licence Open Source pour bénéficier de l'analyse SCA uniquement.
  • -s : Indiquez -s <value> afin d'indiquer une vitesse et une profondeur d'examen, où <value> est simple, équilibré, profond ou complet. Les vitesses d'examen indiquées via la ligne de commande correspondent aux vitesses d'examen qui peuvent être sélectionnées dans AppScan Go!.
    • Un examen simple effectue une analyse au niveau de la surface de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser.
    • Un examen équilibré propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen simple.
    • Un examen profond réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps.
    • Un examen complet effectue une analyse exhaustive en vue d'identifier la liste des vulnérabilités la plus complète et est celui qui prend le plus de temps.
      Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analyse complète peut exclure des faux positifs susceptibles d'être signalés dans un examen simple et donc indiquer moins de vulnérabilités.
    Remarque : Ce paramètre facultatif est sensible à la casse. Lorsqu'aucune vitesse d'examen n'est spécifiée, l'utilitaire client effectue un examen profond par défaut.
  • -l: Indiquez -sao pour effectuer une analyse statique uniquement. Lorsque -sao est spécifié, AppScan sur Cloud n'effectue pas d'analyse Open Source sur le package.
  • -sco, --sourceCodeOnly : indiquez -sco ou --sourceCodeOnly pour examiner uniquement les fichiers de code source. Ce paramètre désactive l'examen d'autres types de fichiers pris en charge, tels que .dll, .exe, .jar, .war, etc.

    Les examens de code source uniquement sont utiles lorsque vous n'avez accès qu'au code source, que vous souhaitez exécuter un examen plus rapide ou que vous préférez la vitesse à la profondeur de l'examen. Choisissez d'autres options d'examen si vous n'avez accès qu'aux sorties de génération ou si vous préférez la profondeur d'examen à la vitesse.

    Remarque : Voir Prise en charge des langages de l'analyse statique pour obtenir une liste des types de fichiers de code source uniquement inclus.
  • -so, --secretsOnly : spécifiez -so ou --secretsOnly pour rechercher des secrets dans le code source uniquement. La recherche de secrets via un examen est désactivée par défaut.
  • -t, --thirdParty : par défaut, le code Java et .NET tiers n'est pas examiné lors de la génération d'un fichier IRX. Vous pouvez modifier les paramètres d'exclusion du code tiers en suivant les instructions de la section Gestion d'exclusions Java et .NET tierces. Pour inclure du code tiers, indiquez l'option -t ou --thirdParty lorsque vous émettez la commande prepare.

    Si vous êtes un développeur de code tiers qui serait normalement exclu dans un examen, vous pouvez utiliser le paramètre permettant d'inclure le code tiers.

  • -v,--verbose : Indiquez -v ou --verbose pour que la sortie affichée au cours de la génération du fichier IRX soit plus complète.
  • -X,--debug : indiquez -X ou --debug pour exécuter la commande complète en mode de débogage. Lors d'une exécution en mode de débogage, davantage de fichiers journaux sont générés pour le dépannage.
Conseil : Pour toutes les commandes, les options peuvent être utilisées dans n'importe quel ordre.

Exemples :

Pour générer un fichier IRX qui utilise ce fichier de configuration, /root/Desktop/my_config_files/my_config.xml (et qui enregistre le fichier IRX sous /root/Desktop/my_irx_files -n my_scan.irx), exécutez la commande suivante :

appscan.sh prepare -c /root/Desktop/my_config_files/my_config.xml -d /root/Desktop/my_irx_files -n my_scan.irx

appscan.sh prepare_sca

Syntaxe :

appscan prepare_sca -d <save_path> -l <log_path> -n <file_name> -X, -debug -container <container> -image <image>

Description :

Générez un fichier IRX sur une image Docker pour exécuter l'analyse de la composition du logiciel (SCA). Lorsqu'elle est exécutée sans paramètres, cette commande équivaut à exécuter appscan.sh prepare -oso.
Important : Les outils d'interface de ligne de commande Docker doivent être installés et configurés sur le système pour examiner les conteneurs et les images Docker.

Indicateurs/paramètres en option :

  • -d : Indiquez -d <save_path>, où <save_path> est le répertoire dans lequel vous souhaitez sauvegarder le fichier IRX.
  • -l : indiquez -l <log_path>, où <log_path> est le répertoire dans lequel vous souhaitez enregistrer les fichiers journaux.
  • -n : Indiquez -n <file_name>, où <file_name> est le nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l’extension de fichier .irx. Si vous l'indiquez sans l'extension, celle-ci est automatiquement ajoutée lors de la génération du fichier.
  • -X,--debug : indiquez -X ou --debug pour exécuter la commande complète en mode de débogage. Lors d'une exécution en mode de débogage, davantage de fichiers journaux sont générés pour le dépannage.
  • -container : Spécifiez -container <container><container> est un conteneur Docker à analyser. La valeur peut être un nom de conteneur, un historique de conteneur ou le chemin d'accès à une archive locale.
  • -image : Spécifiez -image <image><image> est une image Docker à analyser. La valeur peut être un nom d'image, un historique d'image ou le chemin d'accès à une archive locale.
Conseil : Pour toutes les commandes, les options peuvent être utilisées dans n'importe quel ordre.

appscan.sh package

Syntaxe :

appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

Description :

Générez un fichier IRX contenant un fichier d'évaluation (.ozasmt) qui a été créé dans un produit HCL AppScan Source version 9.0 ou ultérieure.

Remarque : Lorsque vous examinez du code ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire de ligne de commande Static Analyzer le plus récent. Voir Support de l'utilitaire de ligne de commande (CLI).

Indicateurs/paramètres en option :

  • -d : Indiquez -d <save_path>, où <save_path> est le répertoire dans lequel vous souhaitez sauvegarder le fichier IRX.
  • -f : indiquez -f <assessment_file>, où <assessment_file> est le fichier .ozasmt à conditionner pour l'examen. Si le fichier <assessment_file> ne se trouve pas dans le répertoire actuel, utilisez cette option pour indiquer le chemin d'accès au fichier d'évaluation et le nom de fichier.
    Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
    • Vous lancez la commande depuis un répertoire qui contient plusieurs fichiers d'évaluation. Si le répertoire contient un seul fichier d'évaluation, ce fichier est conditionné si l'option -f n'est pas utilisée.
    • Vous lancez la commande depuis un répertoire qui ne contient pas de fichiers d’évaluation. Dans ce cas, vous devez utiliser l'option -f pour spécifier le chemin d'accès et le nom du fichier d'évaluation à conditionner.
  • -n : Indiquez -n <file_name>, où <file_name> est le nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l’extension de fichier .irx. Si vous l'indiquez sans l'extension, celle-ci est automatiquement ajoutée lors de la génération du fichier.
Conseil : Pour toutes les commandes, les options peuvent être utilisées dans n'importe quel ordre.

Exemples :

Dans le répertoire /root/Desktop/my_irx_files, vous pouvez générer un fichier IRX qui contient le fichier d'évaluation, /root/Desktop/my_assessment_files/my_assessment.ozasmt, en exécutant la commande suivante :

appscan.sh package -f /root/Desktop/my_assessment_files/my_assessment.ozasmt

Le fichier IRX ainsi obtenu est enregistré sous /root/Desktop/my_irx_files.

appscan.sh get_pubkey

Syntaxe :

appscan.sh get_pubkey -d <save_path>

Description :

Téléchargez la clé de chiffrement publique à utiliser sur un ordinateur non connecté à Internet.

Si vous générez un fichier IRX depuis un ordinateur qui est connecté à Internet, cette commande est inutile, car une clé de chiffrement est téléchargée automatiquement lorsque vous entrez la commande prepare. Si une clé de chiffrement existe déjà sur l'ordinateur, elle est mise à jour, si nécessaire, lorsque vous entrez la commande prepare.

Cependant, si vous générez un fichier IRX depuis un ordinateur qui n'est pas connecté à Internet, vous pouvez télécharger la clé de chiffrement à l'aide de cette commande. Vous pouvez ensuite copier la clé de chiffrement sur l'ordinateur qui n'est pas connecté à Internet pour ensuite l'utiliser lorsque vous générez le fichier IRX. Pour utiliser la clé de chiffrement sur cet ordinateur, vous devez conserver le nom de fichier rsa.pub et placer le fichier dans le répertoire config du fichier SAClientUtil_<version>_<os>.zip extrait (où <version> est la version en cours de l'Utilitaire de ligne de commande).

Remarque : La clé de chiffrement utilisée doit être à jour. Si un fichier IRX est généré avec une clé de chiffrement obsolète, le fichier IRX est alors rejeté lors de son chargement. Si votre ordinateur est connecté à Internet, entrez à nouveau la commande prepare pour mettre à jour automatiquement la clé de chiffrement. Si votre ordinateur n'est pas connecté à Internet, vous devez utiliser la commande get_pubkey.

Indicateurs/paramètres en option :

  • -d : indiquez -d <save_path>, où <save_path> est le répertoire dans lequel vous souhaitez enregistrer la clé de chiffrement. Si cette option n'est pas spécifiée, la clé est sauvegardée dans le répertoire config du fichier SAClientUtil_<version>_<os>.zip extrait.