使用 AppScan Go! 配置扫描

AppScan Go! 将引导您配置和运行静态扫描。在中运行扫描,或者使用插件执行自动扫描。

开始之前

要使用 AppScan Go!,请下载并将其安装到本地系统:
  1. AppScan on Cloud 中:
    1. 单击创建扫描以打开向导。
    2. 单击 SAST
    3. 单击上载要扫描的存档文件
  2. 在向导的生成 IRX 文件部分,选择要下载实用程序的平台(Windows、Mac 或 Linux),然后单击下载
    重要: AppScan Go! 需要 Static Analyzer Command Line Utility (SAClientUtil)。AppScan 360° 用户必须使用随 AppScan 360° 安装提供的 Static Analyzer Command Line UtilityAppScan Go! 版本。AppScan on Cloud 用户必须使用通过 AppScan on Cloud 服务下载的版本。它们不能互换。
  3. 解压缩文件并将该实用程序安装到本地系统:
    • 在 Windows 系统上,启动 appscan-go-2.3.0-installer.exe 并按照提示操作。
    • 在 Linux 和 Mac 系统上,从终端运行 appscan-go-installer.sh

    安装将配置 AppScan Go!Static Analyzer Command Line Utility

注: 如果需要,请将 AppScan Go! 配置为使用系统代理

关于此任务

使用 AppScan Go! 允许您在服务中运行分析之前在本地配置扫描。

过程

  1. 在您的本地系统中,启动 AppScan Go!
    您不必登录到 AppScan on Cloud 服务即可开始设置扫描。您确实需要登录才能完成扫描。
  2. 选择扫描方法:
    • 运行完整扫描。
    • 创建 IRX 文件并稍后运行扫描。
    • 创建用于自动执行扫描的配置文件。
  3. 指定要扫描的文件的位置以及扫描模式和类型,然后单击下一步
    1. 指定要扫描的项目文件的位置:本地目录或软件配置管理 (SCM) 存储库。
      • 如果要扫描本地目录,请浏览到包含要扫描文件的文件夹,然后单击选择文件夹AppScan Go! 允许您仅选择文件夹。
      • 如果要扫描存储库,请输入 SCM 存储库 URL,单击连接到存储库,登录 SCM,然后选择正确的分支。
        注: 确保已安装 Git V2.40.1 或更高版本,并且使用个人访问令牌进行认证。

        AppScan Go! 支持连接到 GitHub、GitLab 和 BitBucket。

    2. 指明一个或多个扫描类型:静态分析、软件组成分析(开源)或密钥扫描
      注: SCA(开源)扫描需要适当的许可证。
      注: 密钥扫描在组织级别启用或禁用,但选中或取消选中此处的密钥将覆盖该设置。
    3. 指定是扫描已编译的代码(字节码)还是未编译的源代码。
      AppScan Go! 建议自动为文件集选择最佳扫描模式。
  4. AppScan Go! 从选定的文件夹中检索适当的文件并列出它们以供查看。查看、选择或取消选择文件,然后单击下一步
  5. 如果您选择运行完整扫描或准备 IRX 文件,请配置扫描设置,然后单击下一步
    注: 您必须登录到 AppScan on Cloud 才能查看可用应用程序的列表。
    设置描述
    扫描名称 指定扫描名称或接受 AppScan Go! 创建的缺省名称。
    关联应用程序 运行完整扫描时,选择要与扫描关联的应用程序。
    扫描速度选项(仅 SAST) 根据需要和时间需求,选择正常快速更快最快扫描。请注意,扫描速度不是 SCA/开源扫描的可配置选项。
    • normal 扫描执行全面分析以识别最详细的漏洞列表,并且完成所需时间最长。
    • fast 扫描会对您的文件执行更全面的分析以识别漏洞,并且通常需要比 normal 扫描更长的时间才能完成。
    • faster 扫描提供分析和识别安全问题方面的中等程度的详细信息,并且完成所需时间比“Fastest”扫描略长。
    • fastest 扫描会对您的文件执行表面级别的分析,以找出最紧急的问题进行补救。完成所需的时间最少。
      注: 扫描速度不一定与代码中发现的相对数量的漏洞相关。例如,normal 分析可能会排除 fastest 扫描中可能会报告的误报,从而报告更少数量的漏洞。
    扫描首选项 运行完整扫描时,指定扫描首选项:
    • 作为个人扫描运行:指示是否将扫描保留为私有且不包括在 Umbrella 项目数据中。
    • 当结果准备就绪时,请通过电子邮件通知我:指示扫描完成后是否通过电子邮件发送。这对于常规扫描特别有用。
    • 允许干预如果选中此选项,我们的扫描支持团队将在扫描失败或未发现问题时尝试修复配置。结果可能会延迟。
  6. 如果您选择运行完整扫描,AppScan Go! 会收集目录及其所有子目录中任何受支持文件的信息,然后在指定的扫描位置创建 IRX 文件。然后 AppScan Go! 会将生成的 IRX 文件上载到 AppScan on Cloud 服务中。完成扫描上载后,单击完成
    注: 您必须登录到 AppScan 服务才能完成扫描。请参阅帐户信息
  7. 如果您选择创建 IRX 文件,AppScan Go! 会收集目录及其所有子目录中任何受支持文件的信息,然后在指定的扫描位置创建 IRX 文件。文件生成完成后,单击完成
  8. 如果您选择创建用于自动执行扫描的配置文件,AppScan on Cloud 会将该扫描配置文件 (appscan-config.xml) 保存到包含要扫描的文件的文件夹中。单击完成退出 AppScan Go!
    您可以在此时退出实用程序并在以后再次继续运行,登录到 AppScan on Cloud 服务并立即配置和运行扫描,或者使用配置文件利用列出的其中一个插件自动执行扫描。
    注: 有关如何使用配置文件的更多信息,请参阅使用 CLI 配置 IRX 文件生成
  9. 打开 AppScan on Cloud 以查看扫描的状态或结果,或使用 AppScan Go! 生成的 IRX 文件开始扫描