AppScan Go! を使用したスキャンの構成

AppScan Go! は、静的スキャンの設定と実行を手順を説明します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。

始める前に

AppScan Go! を使用するには、ダウンロードしてローカル・システムにインストールします。
  1. AppScan on Cloud「スキャンの作成」をクリックしてウィザードを開き、「SAST」をクリックします。
  2. ユーティリティーをダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、「ダウンロード」をクリックします。
  3. ファイルを抽出して、ユーティリティーをローカル・システムにインストールします。
注: Linux 上の既存の AppScan Go! インストールを新しいバージョンに更新する場合は、-U オプションを指定してインストールを実行します。
注: 必要に応じて、システム・プロキシーを使用するように AppScan Go! を設定します。

このタスクについて

AppScan Go! を使用すると、サービスで分析を実行する前に、ローカルにスキャンを設定できます。

手順

  1. ローカル・システムで AppScan Go! を起動します
    スキャンの設定を開始するのに、AppScan on Cloud サービスにログインする必要はありません。スキャンを完了するには、ログインしている必要があります
  2. スキャン・メソッドの選択:
    • 完全なスキャンを実行します。
    • IRX ファイルを作成し、後でスキャンを実行します。
    • スキャンを自動化するための設定ファイルを作成します。
  3. スキャンするファイルの場所を指定し、スキャン・モードとタイプを入力して「次へ」をクリックします。
    1. スキャンするプロジェクト・ファイルの場所 (ローカル・ディレクトリーまたはソフトウェア設定管理 (SCM) リポジトリー) を指定します。
      • ローカル・ディレクトリーをスキャンする場合、スキャンするファイルを含むフォルダーを参照して、「フォルダーの選択」をクリックします。AppScan Go! では、フォルダーのみを選択できます。
      • リポジトリーをスキャンする場合は、SCM リポジトリーの URL を入力し、SCM にログインして、正しいブランチを選択します。
        注: Git バージョン 2.40.1 以降がインストールされていること、および認証にパーソナル・アクセス・トークンを使用していることを確認します。

        AppScan Go! は、GitHub、GitLab、BitBucket への接続をサポートしています。

    2. 1 つ以上のスキャン・タイプ (静的分析、ソフトウェア・コンポジション分析 (オープン・ソース) 、シークレット・スキャン) を指定します。
    3. コンパイルされたコード (バイトコード) をスキャンするか、コンパイルされていないソース・コードをスキャンするかを指定します。
      AppScan Go! では、自動的にファイル・セットに最適なスキャン・モードを推奨します。
  4. AppScan Go! で、選択したフォルダーから適切なファイルが取得され、確認のために一覧表示されます。ファイルを確認、選択、または選択解除して、「次へ」をクリックします。
  5. 完全なスキャンを実行するか、IRX ファイルを準備することを選択した場合は、スキャン設定項目を設定してから「次へ」をクリックします。
    注: 使用可能なアプリケーションのリストを表示するには、AppScan on Cloud にログインしている必要があります。
    設定説明
    スキャン名 スキャンの名前を指定するか、AppScan on Cloud で作成されたデフォルト名をそのまま使用します。
    関連付けられているアプリケーション 完全なスキャンを実行する場合は、スキャンに関連付けるアプリケーションを選択します。
    スキャン速度オプション (SASTのみ) ニーズおよび時間的要求に応じて、通常スキャン、高速スキャン、より高速スキャン、最高速スキャンを選択します。SCA/オープン・ソース・スキャンの場合、スキャン速度は構成できません。
    • 通常スキャンでは、包括的な分析を実行して、最も詳細な脆弱性リストを特定し、完了するのに最も多くの時間がかかります。
    • 高速スキャンでは、ファイルの徹底的な分析を実行して脆弱性を特定します。通常、完了するのにより多くの時間がかかります。
    • より高速スキャンでは、中程度の詳細レベルでセキュリティー問題の分析および特定を行うことができ、完了するのに「最高速」スキャンよりはやや時間がかかります。
    • 最高速スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を識別します。完了に要する時間が最も短いスキャンです。
      注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、通常スキャンで報告される可能性のある誤検出が最高速分析では除外され、より少ない脆弱性が報告されることがあります
    スキャン・プリファレンス 完全なスキャンを実行する場合は、スキャン・プリファレンスを指定します。
    • 個人スキャンとして実行: スキャンを個人的なものにして、包括的なプロジェクト・データに含めないかどうかを示します。
    • 検出結果の準備ができたら E メールで通知: スキャンの完了後に E メールを送信するかどうかを示します。これは、通常スキャンの場合に特に便利です。
  6. 完全なスキャンを実行することを選択した場合、AppScan Go! は、ディレクトリー内のサポートされているファイルおよびそのすべてのサブディレクトリーの情報を収集し、<user_home>/.appscan/temp ディレクトリーに IRX ファイルを作成します。次に、AppScan Go! は、生成された IRX ファイルを AppScan on Cloud サービスにアップロードします。スキャンのアップロードが完了したら、「完了」をクリックします。
    注: スキャンを完了するには、AppScan サービスにログインしている必要があります。「アカウント情報」を参照してください。
  7. IRX ファイルを作成することを選択した場合、AppScan Go! は、ディレクトリー内のサポートされているファイルおよびそのすべてのサブディレクトリーの情報を収集し、<user_home>/.appscan/tempディレクトリーに IRX ファイルを作成します。ファイル生成が完了したら、「完了」をクリックします。
  8. スキャンを自動化するための設定ファイルを作成することを選択した場合、AppScan on Cloud は、スキャン設定ファイル (appscan-config.xml) をスキャンするファイルが含まれるフォルダーに保存します。「完了」をクリックして、AppScan Go! を終了します。
    この時点でユーティリティーを終了して後ほど再開することも、AppScan on Cloud サービスにログインし、今すぐスキャンを設定して実行することもできます。または、以下のいずれかのプラグインを使用して、設定ファイルを使ってスキャンを自動化することができます。
    注: 設定ファイルを使用した追加情報については、CLI を使用した IRX ファイル生成の構成を参照してください。
  9. AppScan on Cloud を開き、スキャンのステータスまたは結果を確認するか、または AppScan Go! で生成された IRX ファイルを使用してスキャンを開始します。