次でのスキャンの設定: AppScan on Cloud

スキャンする内容を特定します。

GitHub リポジトリー:
スキャンするパブリック GitHub リポジトリーを特定し、適切なアクセス権があることを確認します。 AppScan on Cloud リポジトリーに対してセキュリティー・スキャンを実行するには、リポジトリーへの読み取りアクセス権が必要です。 AppScan on Cloud スキャンごとに 1 つのリポジトリーのスキャンをサポートします。
注: プライベート・リポジトリーをスキャンするには、スキャンするリポジトリーを所有する GitHub アカウントまたは組織に HCL AppScan on Cloud GitHub アプリケーションをインストールします。「サードパーティーの GitHub アプリのインストール」を参照してください。
IRX ファイル:
- CLI を使用して IRX ファイルを生成するには、「コマンド行インターフェース (CLI) を使用した IRX ファイルの生成」の手順に従います。CLI からすべてのサポート対象言語をスキャンできます。
- AppScan Go! を使用して IRX ファイルを生成するには、「AppScan Go! を使用したスキャンの構成」の手順に従います。
- Maven プロジェクト用の IRX ファイルを生成するには、「Maven プロジェクト用の静的分析の実行」の手順に従います。Maven では Java および Android プロジェクトのみをサポートしています。
ソース・コード・ファイル:
ソース・コード・ファイルをスキャンするには、適切な .zip、.war、.jar、または .ear ファイルを指定します。
注: .war、.jar、.ear 以外のソース・コード・ファイルは、.zip ファイルに圧縮する必要があります。.zip に .git メタデータ (GitHub リポジトリー) が含まれている場合、AppScan on Cloud は、1 つのスキャンにつき 1 つのリポジトリー (.git ファイル) をサポートしています。
統合開発環境:
IntelliJ IDEA または Visual Studio でスキャンするには、統合開発環境におけるスキャンの説明に従います。IntelliJ IDEA では、Java プロジェクトをスキャンできます。また Visual Studio では .NET (C#、ASP.NET、VB.NET) をスキャンできます。

注: コードをスキャンするか、IRX ファイルを生成する際に、最新の Static Analyzer コマンド行ユーティリティーへの更新に関するメッセージを受け取ることがあります。「コマンド行ユーティリティー (CLI) のサポート」を参照してください。

IRX ファイルをスキャンする場合は、次のいずれかをダウンロードしてセットアップします。

サポートされるプラグイン。
サポートされるプラグインに関する詳細な情報は、「AppScan on Cloud のプラグインと API」ページおよび「統合」資料ページにリストされています。
AppScan Go! (クライアント・ユーティリティーのグラフィカル・ユーザー・インターフェース)。
Static Analyzer コマンド行ユーティリティー (「Static Analyzer コマンド行ユーティリティーのセットアップ」に記載）。

スキャン用のアプリケーションを作成します (まだ作成していない場合)。

「スキャンの作成」ウィザードを使用して、スキャンの構成を開始します。「アプリケーション」 > 「<アプリケーション>」 > 「スキャンの作成」 > 「SAST 静的分析: スキャンの作成」。

リポジトリーをスキャンするには、「GitHub リポジトリーのスキャン」を選択します。
「アーカイブのアップロード」を選択してスキャンし、IRX またはソース・コード・ファイルをスキャンします。

次でのスキャンの設定: AppScan on Cloud

手順