SCA で使用するための Static Analyzer コマンド行ユーティリティー の設定
ソフトウェア・コンポジション分析の場合は、小さい コマンド行ユーティリティー をダウンロードしてください。ユーティリティーをローカル・ディスクに解凍すると、コマンド行インターフェース (CLI) を使用してセキュリティー分析を実行できます。
このタスクについて
SCA を使用するとき、ソース・コードをスキャンして、クラウドにアップロードするファイルを生成します。暗号化された IRX (.irx) ファイルをトレース分析を使用してスキャンし、セキュリティーの脆弱性を検出します。
重要: コマンド行ユーティリティー を非 ASCII 文字を含むディレクトリーに保存しないでください。
手順
コマンド行ユーティリティー をセットアップするには、次の手順を実行します。
-
コマンド行ユーティリティー を実行する予定のプラットフォームを選択し、次に「ダウンロード」をクリックします。これにより、
SAClientUtil_<version>_<os>.zip
ファイルがダウンロードされます (<version> は、最新バージョンのコマンド行ユーティリティー、<os> は、コマンド行ユーティリティー用のオペレーティング・システムです)。注: フォームで「IRX ファイルを作成するには?」を選択してウェルカム・フォームをもう一度開くと、IRX ファイルを選択できます。 - ファイルをローカル・ドライブに解凍します。
-
CLI を使用して IRX ファイルを生成したり、IRX ファイルをアップロードしたり、スキャンを管理したりする場合は、抽出された
SAClientUtil_<version>_<os>.zip
ファイルの \bin ディレクトリーの場所をPATH
環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、抽出されたSAClientUtil_<version>_<os>.zip
ファイルの \bin ディレクトリーを使用してすべてのコマンドを修飾しなければならなくなります。ヒント:PATH
の変更後に、コマンド・プロンプトでappscan version
(Windows™) またはappscan.sh version
(Linux™ と macOS) を発行します。Static Analyzer コマンド行ユーティリティーのバージョン、ホーム、およびその他の情報が返された場合は、PATH
が正しく設定されています。
次のタスク
プロキシー内にあるコンピューターでコマンド行ユーティリティーを実行している場合は、次のいずれかの方法でプロキシーを指定すると、コマンド行ユーティリティーをクラウドに接続できます。
- コマンド行ユーティリティー CLI とサポートされている統合開発環境 (IDE): このグローバルまたはシステム環境変数を設定し、プロキシーが自動的に認識されるようにします。
- Windows:
APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
- Linux と macOS:
APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
この場合、
<proxy>
にはプロキシー・サーバーのホスト名が入り、<port>
にはプロキシー・サーバーが使用するポート番号が入ります。あるいは、CLI または (コマンド・プロンプトまたは端末から起動された) IDE を使用するたびに、次のコマンドを実行してコマンド行ユーティリティーがそのプロキシーを使用するよう設定できます。
- Windows™:
set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
- Linux™ と macOS:
export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
- Windows:
- Maven: 静的分析プラグインを Maven に追加した場合、プロパティーをグローバルに
MAVEN_OPTS
環境変数に追加するか、各コマンドにプロパティーを追加することができます。
注: AppScan on Cloud の機能を最大限に活用するには、Static Analyzer コマンド行ユーティリティーおよびすべてのプラグインを最新の状態に保つ必要があります。
- Static Analyzer コマンド行ユーティリティーの更新は定期的に提供され、詳細は「最新の更新」にリストされます。更新には、以下のものが含まれます。
- 新しい言語サポート
- 言語サポートの更新 (サポートされる言語に関連付けられる新しいファイル・タイプなど)
- 新機能
- Fixes
- プラグインの実行時に、最新の Static Analyzer コマンド行ユーティリティー が自動的にダウンロードされます。
- Static Analyzer コマンド行ユーティリティー の旧バージョンを使用してスキャン用のコードを作成しようとすると、ユーティリティーを最新バージョンに更新するように求めるメッセージが表示される場合があります。ご使用のオペレーティング・システム (Windows、Linux、Mac) に基づいて、最新の Static Analyzer コマンド行ユーティリティーにアップグレードします。
- AppScan Go! を使用していて、更新が提供されている場合は、最新の更新を受け入れてインストールします。