Configuration d'un examen à l'aide d'AppScan Go!

AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Vous pouvez ensuite exécuter l'examen dans le cloud ou utiliser un plug-in pour automatiser l'examen.

Avant de commencer

Pour utiliser AppScan Go!, téléchargez-le et installez-le sur votre système local :
  1. Dans AppScan sur Cloud, cliquez sur Créer un examen pour ouvrir l'assistant, puis sur SAST.
  2. Sélectionnez la plateforme (Windows, Max ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire, puis cliquez sur Télécharger.
  3. Procédez à l'extraction des fichiers et installez l'utilitaire sur votre système local.
Remarque : Si vous mettez à jour une installation AppScan Go! existante sur Linux vers une version plus récente, exécutez l'installation avec l'option -U.
Remarque : Configurez AppScan Go! pour utiliser un proxy système, si nécessaire.

Pourquoi et quand exécuter cette tâche

Grâce à AppScan Go!, vous pouvez configurer des examens localement avant d'exécuter une analyse dans le service.

Procédure

  1. Lancez AppScan Go! depuis votre système local.
    Vous ne devez pas être connecté au service AppScan sur Cloud pour commencer à configurer un examen. Vous devez obligatoirement être connecté pour effectuer un examen.
  2. Choisissez une méthode d'examen :
    • Effectuez un examen intégral.
    • Créez un fichier IRX et effectuez un examen ultérieurement.
    • Créez un fichier de configuration pour automatiser les examens.
  3. Spécifiez l'emplacement des fichiers à examiner, le mode et le type d'examen, puis cliquez sur Suivant.
    1. Spécifiez l'emplacement des fichiers de projet à examiner : un répertoire local ou un référentiel de gestion de la configuration logicielle (SCM).
      • Accédez au dossier qui contient les fichiers à examiner, puis cliquez sur Sélectionner un dossier. AppScan Go! vous permet de sélectionner uniquement des dossiers.
      • Si vous examinez un référentiel, entrez l'URL du référentiel SCM, connectez-vous au SCM et sélectionnez la branche correcte.
        Remarque : Assurez-vous que Git version 2.40.1 ou ultérieure est installé et que vous utilisez un jeton d'accès personnel pour l'authentification.

        AppScan Go! prend en charge les connexions à GitHub, GitLab et BitBucket.

    2. Indiquez un ou plusieurs types d'examen : statique, Software Composition Analysis (Open Source) ou balayage des secrets.
    3. Indiquez si vous souhaitez examiner le code compilé (bytecode) ou le code source non compilé.
      AppScan Go! recommande automatiquement le meilleur mode d'examen pour le fichier défini.
  4. AppScan Go! extrait les fichiers appropriés du dossier sélectionné et les répertorie afin que vous puissiez les consulter. Consultez, sélectionnez ou désélectionnez des fichiers, puis cliquez sur Suivant.
  5. Si vous avez choisi d'exécuter un examen complet ou de préparer un fichier IRX, configurez les paramètres d'examen, puis cliquez sur Suivant.
    Remarque : Vous devez être connecté à AppScan sur Cloud pour afficher la liste des applications disponibles.
    ParamètreDescription
    Nom de l'examen Donnez un nom à l'examen ou acceptez le nom par défaut créé par AppScan sur Cloud.
    Applications associées Lors de l'exécution d'un examen complet, choisissez l'application à associer à l'examen.
    Options de vitesse d'examen (SAST uniquement) Choisissez l'examen Normal, Rapide, Plus rapide, ou Le plus rapide en fonction des besoins et du temps disponible. Notez que la vitesse d'examen n'est pas une option configurable pour les examens SCA/Open Source.
    • Un examen normal effectue un examen exhaustif en vue d'identifier la liste des vulnérabilités la plus complète et est celui qui prend le plus de temps.
    • Un examen rapide réalise un examen plus complet de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps.
    • Un examen plus rapide propose un niveau de détail d'examen et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen simple.
    • Un examen le plus rapide effectue un examen au niveau de la surface de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser.
      Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analyse normale peut exclure des faux positifs susceptibles d'être signalés dans un examen le plus rapide et donc indiquer moins de vulnérabilités.
    Préférences d'examen Lors de l'exécution d'un examen intégral, spécifiez les préférences d'examen :
    • Effectuer un examen personnel : indiquez si l'examen restera privé et ne sera pas inclus dans les données du projet global.
    • M'informer par e-mail lorsque les résultats de l'examen sont prêts : indiquez si un e-mail doit être envoyé lorsque l'examen est terminé. Cela s'avère particulièrement utile pour les examens normaux.
  6. Si vous avez opté pour un examen intégral, AppScan Go! recueille des informations sur tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire <user_home>/.appscan/temp. AppScan Go! charge ensuite le fichier IRX obtenu dans le service AppScan sur Cloud. Une fois le chargement de l'examen terminé, cliquez sur Terminer.
    Remarque : Vous devez être connecté à un service AppScan pour effectuer un examen. Voir Informations sur le compte.
  7. Si vous avez opté pour la création d'un fichier IRX, AppScan Go! recueille des informations sur tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire <user_home>/.appscan/temp. Lorsque la génération du fichier est terminée, cliquez sur Terminer.
  8. Si vous avez choisi de créer un fichier de configuration pour automatiser les examens, AppScan sur Cloud enregistre le fichier de configuration d'examen (appscan-config.xml) dans le dossier contenant vos fichiers à examiner. Cliquez sur Terminer pour quitter AppScan Go!
    Vous pouvez quitter l'utilitaire à ce stade et le reprendre plus tard, vous connecter au service AppScan sur Cloud et configurer et exécuter l'examen maintenant, ou utiliser le fichier de configuration pour automatiser l'examen à l'aide de l'un des plug-ins répertoriés.
    Remarque : Pour plus d'informations sur l'utilisation des fichiers de configuration, voir Configuration de la génération de fichier IRX avec l'interface de ligne de commande.
  9. Ouvrez AppScan sur Cloud pour consulter le statut ou les résultats de l'examen, ou pour lancer un examen avec le fichier IRX généré par AppScan Go!