GitHub Enterprise サーバー上のリポジトリーをスキャンする

AppScan Presence を使用して GitHub Enterprise リポジトリーで静的分析を実行できます。

AppScan Presence には、GitHub アプリを使用して GitHub Enterprise サーバーから GitHub リポジトリーで静的分析を実行するためのオプションのサポートが含まれています。GitHub サーバーにパブリックにアクセスできる必要はありません。ただし、AppScan ユーザーは GitHub サーバーへのネットワーク・アクセス権と GitHub 内のリポジトリーへのアクセス権を持っている必要があります。

スキャンを構成する前に AppScan Presence をセットアップし、GitHub アプリをインストールして設定します。

  1. 「スキャンの作成」ウィザードを使用して、スキャンを設定します。「アプリケーション」 > 「<アプリケーション>」 > 「スキャンの作成」 > 「SAST 静的分析: スキャンの作成」 > 「GitHub リポジトリーのスキャン」を選択します。
  2. 「GitHub 接続」タブで、「GitHub Enterprise」チェック・ボックスをクリックします。
  3. ドロップダウン・リストから、適切な有効な AppScan Presence を選択します。
  4. GitHub にログインするには、「GitHub に接続」をクリックします。

    権限が付与されると、使用可能なリポジトリーが「リポジトリー」タブに表示されます。認証は 1 回だけ必要です。

  5. 「リポジトリー」タブで、使用可能なリポジトリーのリストからスキャンするリポジトリーとブランチを指定します。
    使用可能なリポジトリーのリストからリポジトリーを選択する場合は、まず親を選択し、次にブランチを選択します。
  6. 「スケジュール」タブで、スキャンをすぐに実行するように指定し、後で使用するためにスキャン設定を保存するか、反復スキャンをスケジュールします。
    • すぐにスキャン

      「スキャン」ボタンをクリックするとすぐにスキャンが実行されます。この時点で最大同時スキャン数が実行されている場合、スキャンはキューに追加され、キューの先頭に到達した時点で開始されます。

    • 後のために保存

      スキャンの設定は実行準備が整い、「スキャン」ページに「Configuration Saved」 (設定保存済み) というステータスで追加されます。保存済み設定は編集できません。

    • スケジュール
      • スキャンの開始日時を指定します。
      • スケジュールでスキャンを繰り返す場合は、頻度 (毎日、毎週、毎月) と詳細を指定します。
      • 再スキャンを停止するタイミングを示します。
  7. 「スキャン・オプション」タブで追加のスキャン・プリファレンスを指定します。
    • スキャンを個人スキャンとして実行し、そのセキュリティーの問題がアプリケーション全体の問題として追加されないようにします。
    • スキャン完了後に E メールを送信するデフォルト・オプションを選択することもできます。
    • スキャン有効化チームによる介入を許可します。
  8. 「サマリー」タブで、必要に応じてスキャンに付けられたデフォルト名を編集し、スキャンの選択内容を確認します。
  9. スキャンの準備ができたら、「スキャン」をクリックします。