Envoi d'évaluations HCL AppScan Source vers le cloud à des fins d'analyse

Si vous disposez d'un abonnement à HCL AppScan on Cloud, vous pouvez soumettre des évaluations AppScan Source pour analyse ici. Les évaluations d'AppScan Source versions 9.0 et ultérieures sont prises en charge. Le nombre d'examens que vous pouvez envoyer dépend de votre abonnement à ASoC.

Pourquoi et quand exécuter cette tâche

Lorsque vous utilisez la fonctionnalité d'analyse statique du service AppScan sur Cloud, vous pouvez générer des rapports d'analyse de sécurité qui utilisent Intelligent Finding Analytics (IFA). L'IFA est une puissante technologie d'apprentissage automatique qui effectue une grande partie du travail de triage à votre place, notamment en filtrant les faux positifs et en regroupant les résultats qui ne peuvent pas être résolus par un correctif dans un point de code. Pour en savoir plus sur IFA, consultez cet article.

Si vous utilisez AppScan Source version 9.0 ou une version ultérieure et disposez d'un abonnement à AppScan sur Cloud, vous pouvez bénéficier de cette technologie en chargeant votre évaluation AppScan Source vers AppScan sur Cloud. En retour, vous recevrez une nouvelle évaluation qui a été automatiquement triée par IFA. Cette évaluation peut se présenter sous la forme d'un rapport HTML ou d'une évaluation qui peut être ouverte dans votre produit AppScan Source.

  • Si vous disposez d'un abonnement payant à AppScan sur Cloud, vous pouvez examiner 10 évaluations AppScan Source supplémentaires. Par exemple, si votre abonnement comprend 20 examens AppScan sur Cloud, vous pouvez examiner 10 autres évaluations AppScan Source, pour un total de 30 examens. Comme l'indique votre abonnement, les limites d'examens simultanés comprennent des examens des évaluations AppScan Source. Par exemple, si votre abonnement vous permet de réaliser 2 examens en même temps, les examens des évaluations AppScan Source sont inclus.
  • Si vous disposez d'un abonnement d'essai à AppScan sur Cloud, les examens des évaluations AppScan Source sont comptabilisés dans votre total d'examens autorisés.
Remarque : si vous examinez une évaluation AppScan Source avec une version d'essai gratuite d'AppScan sur Cloud, vous pouvez télécharger un rapport HTML complet, en plus du fichier d'évaluation AppScan Source trié par l'IFA. Pour tous les autres types d'examen, vous pouvez uniquement télécharger un rapport récapitulatif si vous disposez d'une version d'essai gratuite.

Procédure

  1. Effectuez l'une des étapes suivantes (ignorez cette étape si vous utilisez déjà AppScan sur Cloud pour réaliser l'analyse statique) :
    1. Si vous ne disposez pas d'un abonnement à AppScan sur Cloud, accédez à https://cloud.appscan.com/AsoCUI/serviceui/home et connectez-vous. Si vous ne disposez pas d'un abonnement, utilisez le lien pour créer un ID HCL. Inscrivez-vous ensuite pour obtenir une version d'essai gratuite ou un abonnement payant à l'aide des liens du service.
    2. Dans le service AppScan sur Cloud, créez une application, puis cliquez sur Créer un examen.
    3. Dans l'écran Quel type d'application examinez-vous aujourd'hui ?, sélectionnez Bureau ou Web > Statique.
    4. Si vous n'avez pas encore téléchargé et configuré l'Utilitaire de ligne de commande Static Analyzer, faites-le dès maintenant. Voir Configuration de l'Utilitaire de ligne de commande Static Analyzer pour plus d'informations.
  2. Générez une évaluation (fichier .ozasmt) dans le produit AppScan Source ou avec l'outil de votre choix. Les versions 9.0 et ultérieures sont prises en charge.
  3. Utilisez l'interface de ligne de commande Utilitaire de ligne de commande Static Analyzer pour générer un fichier de représentation intermédiaire (IRX ou .irx) pour l'évaluation (fichier .ozasmt) :
    1. Après avoir extrait l'Utilitaire de ligne de commande Static Analyzer vers une unité locale, ajoutez l'emplacement de son répertoire \bin dans votre variable d'environnement PATH. Si vous n'effectuez pas cette opération, toutes les commandes d'interface de ligne de commande de l'Utilitaire de ligne de commande Static Analyzer auront besoin d'être qualifiées à l'aide du répertoire \bin à chaque fois que la commande sera émise. Voir Génération d'un fichier IRX à l'aide de l'interface de ligne de commande pour plus d'informations.
    2. Exécutez cette commande sur Windows : 
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      ou cette commande sur Linux et macOS :

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
      Les arguments de commande sont facultatifs :
      • -d : Indiquez -d <save_path>, où <save_path> est le répertoire dans lequel vous souhaitez sauvegarder le fichier IRX.
      • -f : indiquez -f <assessment_file>, où <assessment_file> est le fichier .ozasmt à conditionner pour l'examen. Si le fichier <assessment_file> ne se trouve pas dans le répertoire actuel, utilisez cette option pour indiquer le chemin d'accès au fichier d'évaluation et le nom de fichier.
        Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
        • Vous lancez la commande depuis un répertoire qui contient plusieurs fichiers d'évaluation. Si le répertoire contient un seul fichier d'évaluation, ce fichier est conditionné si l'option -f n'est pas utilisée.
        • Vous lancez la commande depuis un répertoire qui ne contient pas de fichiers d’évaluation. Dans ce cas, vous devez utiliser l'option -f pour spécifier le chemin d'accès et le nom du fichier d'évaluation à conditionner.
      • -n : Indiquez -n <file_name>, où <file_name> est le nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l’extension de fichier .irx. Si vous l'indiquez sans l'extension, celle-ci est automatiquement ajoutée lors de la génération du fichier.

      Vous trouverez de plus amples informations sur cette commande, y compris des exemples d'utilisation, sur Commandes de configuration (Windows) ou Commandes de configuration (Linux et macOS).

  4. Utilisez la commande appscan queue_analysis (Windows) ou appscan.sh queue_analysis (Linux et macOS) de l'interface de ligne de commande pour charger le fichier IRX :
    1. Connectez-vous au service à partir de l'interface de ligne de commande. La méthode est différente sur HCL Cloud Marketplace. Vous trouverez des informations détaillées sur l'authentification auprès du service dans l'interface de ligne de commande sur Commandes d'authentification (Windows) ou Commandes d'authentification (Linux et macOS).
      • HCL Cloud Marketplace :
        Exécutez cette commande sur Windows :
        appscan api_login -P <password> -u <user_name> -persist
        ou cette commande sur Linux et macOS :
        appscan.sh api_login -P <password> -u <user_name> -persist

        Les arguments suivants sont obligatoires :

        • -P : Spécifiez -P <password>, où <password> correspond au mot de passe que vous avez indiqué lorsque vous vous êtes inscrit au service ASoC.
        • -u : Spécifiez -u <user_name>, où <user_name> correspond à l'adresse e-mail que vous avez indiquée lorsque vous vous êtes inscrit au service ASoC.

        L'argument suivant est facultatif :

        • -persist : essayez automatiquement de vous authentifier à nouveau auprès du service lorsque le fichier jeton de connexion arrive à expiration.
    2. Chargez le fichier IRX à l'aide de la commande appscan queue_analysis (Windows) ou appscan.sh queue_analysis (Linux et macOS) :
      • Exécutez cette commande sur Windows :
        appscan queue_analysis -a <app_id> -f <file> -n <scan_name> -nen -oso -ps -sao

        ou cette commande sur Linux et macOS :

        appscan.sh queue_analysis -a <app_id> -f <file> -n <scan_name> -nen -oso -ps -sao

        Les arguments suivants sont obligatoires :

        • -f : Indiquez -f <file>, où <_file> est le fichier IRX ou l'archive non-IRX que vous souhaitez envoyer pour examen. Si le fichier ne se trouve pas dans le répertoire de travail, utilisez cette option pour spécifier le chemin et le nom du fichier.
          Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
          • Vous lancez la commande depuis un répertoire qui contient plusieurs fichiers cibles. Si le répertoire ne contient qu'un seul fichier cible, ce fichier est envoyé, à condition que l'option -f ne soit pas utilisée.
          • Vous lancez la commande depuis un répertoire qui ne contient pas de fichiers cibles. Dans ce cas, l'option -f doit être utilisée pour spécifier le chemin et le nom du fichier à soumettre.
        • -a : Les fichiers que vous envoyez pour analyse (fichierIRX ou archive non-IRX) doivent être associés à une application AppScan sur Cloud existante. Avec cette option, indiquez -a <app_id>, où <app_id> est l'ID de l'application à laquelle il convient de s'associer. Pour déterminer l'ID, utilisez la commande list_apps.
      • Lorsque la commande se termine, un ID s'affiche pour le travail d'analyse. Si vous souhaitez recevoir le rapport d'analyse d'AppScan sur Cloud via l'interface de ligne de commande, vous devez inclure cet ID de travail dans la commande appscan get_result (Windows) ou appscan.sh get_result (Linux et macOS) et noter l'ID. Si vous utilisez l'interface de ligne de commande pour recevoir le rapport d'analyse, vous avez la possibilité de recevoir un fichier d'archive (.zip) comprenant un fichier .ozasmt pour pouvoir ouvrir le rapport d'analyse dans AppScan Source. Si vous souhaitez uniquement obtenir un rapport HTML, vous pouvez utiliser l'interface de ligne de commande ou le client Web d'AppScan sur Cloud pour télécharger le rapport.

      Vous trouverez des détails à propos de cette commande sur Commandes d'analyse (Windows) ou Commandes d'analyse (Linux et macOS).

  5. Lorsque l'analyse est terminée, vous recevez un e-mail si vous avez chargé le fichier IRX à l'aide de l'interface de ligne de commande ou si vous avez coché la case M'envoyer un courrier électronique lorsque l'examen est terminé dans le client Web d'AppScan sur Cloud.
  6. Sélectionnez une méthode d'extraction du rapport d'analyse. Vous pouvez utiliser la commande de l'interface de ligne de commande appscan get_result (Windows) ou appscan.sh get_result (Linux et macOS) ou bien le client Web d'AppScan sur Cloud. Si vous utilisez l'interface de ligne de commande pour recevoir le rapport d'analyse, vous avez la possibilité de recevoir un fichier d'archive (.zip) comprenant un fichier .ozasmt pour pouvoir ouvrir le rapport d'analyse dans AppScan Source. Si vous souhaitez uniquement obtenir un rapport HTML, vous pouvez utiliser l'interface de ligne de commande ou le client Web d'AppScan sur Cloud pour télécharger le rapport.
  7. Effectuez cette étape si vous souhaitez utiliser la commande appscan get_result (Windows) ou appscan.sh get_result (Linux et macOS) de l'interface de ligne de commande pour extraire le rapport d'analyse :
    1. Vérifiez que vous êtes connecté au service à partir de l'interface de ligne de commande.
    2. Exécutez cette commande sur Windows : 
      appscan get_result -d <file_path> -i <job_id> -t <type>

      ou cette commande sur Linux et macOS :

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      L'argument suivant est obligatoire :

      • -i : Spécifiez -i <job_id>, où <job_id> correspond à l'ID du travail d'analyse.
      Remarque : Si vous n'avez pas noté l'ID lors de l'exécution de la commande appscan queue_analysis (Windows) ou appscan.sh queue_analysis (Linux et macOS), vous pouvez utiliser la commande appscan list (Windows) ou appscan.sh list (Linux et macOS) pour afficher une liste de tous les travaux d'analyse. Pour plus d'informations, consultez Commandes d'analyse (Windows) ou Commandes d'analyse (Linux et macOS).

      Les arguments suivants sont facultatifs :

      • -d : Spécifiez -d <file_path>, où <file_path> correspond au chemin d'accès complet et/ou au nom du fichier de destination. Si aucun nom de fichier n'est indiqué, il se base alors sur le nom du travail d'examen. Si aucun chemin d'accès n'est indiqué, le fichier est alors enregistré dans le répertoire actuel. Si cette option n'est pas incluse, le fichier est alors enregistré dans le répertoire actuel avec un nom de fichier basé sur le nom du travail d'examen.
      • -t : Spécifiez -t <type>, où <type> correspond à html ou zip. Les résultats sont enregistrés sous forme de fichier HTML ou de fichier .zip contenant les résultats au format HTML. Si cette option n'est pas incluse, les résultats sont sauvegardés dans un fichier HTML.

        Si les résultats de l'examen concernent un fichier IRX généré par la commande package, spécifiez -t zip pour enregistrer les résultats contenant un nouveau fichier .ozasmt qui peut être chargé dans votre produit AppScan version 9.0 ou ultérieure.

      Vous trouverez des détails à propos de cette commande sur Commandes de résultats (Windows) ou Commandes de résultats (Linux et macOS).

  8. Si vous souhaitez uniquement voir un rapport HTML, vous pouvez utiliser le client Web AppScan sur Cloud pour télécharger le rapport. Effectuez cette étape si vous souhaitez utiliser le client Web pour extraire le rapport d'analyse.

    Lorsque vous vous connectez au service, vous devriez voir automatiquement une liste de vos examens (si vous avez navigué vers une autre section du service, cliquez sur l'icône X situé en haut à droite de l'écran pour retourner à la liste des examens). Dans la liste des examens, localisez l'examen et sélectionnez l'icône Télécharger, puis sélectionnez le format XML ou HTML.

    Pour en savoir plus sur les résultats d'examens d'AppScan sur Cloud dans HCL Cloud Marketplace, consultez Résultats.