如果订阅了 HCL AppScan on Cloud,可在此处提交 AppScan Source 评估以进行分析。支持从 AppScan Source V9.0 或更高版本评估。您可以提交的扫描次数取决于您的 ASoC 订阅。
关于此任务
使用 AppScan on Cloud 服务的静态分析功能时,可生成使用 Intelligent Finding Analytics (IFA) 的安全性分析报告。IFA 是一种功能强大的机器学习技术,通过过滤出误报结果并对可由一个代码点中的修订修复的结果分组来执行大多数分类工作。要了解关于 IFFA 的更多信息,请参阅此文章。
如果使用 AppScan Source V9.0 或更高版本并且具有 AppScan on Cloud 订阅,则可通过将 AppScan Source 评估上载到 AppScan on Cloud 来利用此技术。作为回报,您将接收到已通过 IFA 自动进行分类的新评估。此评估可以是 HTML 报告的形式,或者评估可在 AppScan Source 产品中打开。
- 如果您有付费的 AppScan on Cloud 订阅,则可以扫描 10 个额外的 AppScan Source 评估。例如,如果您的订阅包含 20 个 AppScan on Cloud 扫描,则还可以扫描额外 10 个 AppScan Source 评估,也就是总共 30 个扫描。并发扫描限制(如果您的订阅中所述)包含了扫描 AppScan Source 评估。例如,如果您的订阅允许您同时进行 2 个扫描,则将包含 AppScan Source 评估的扫描。
- 如果您有试用版的 AppScan on Cloud 订阅,则 AppScan Source 评估的扫描将计入允许的总扫描次数中。
注: 如果通过 AppScan on Cloud 的免费试用版本扫描 AppScan Source 评估,则除了已通过 IFA 分类的 AppScan Source 评估文件之外,可下载完整 HTML 报告。对于所有其他扫描类型,仅可在具有免费试用时下载摘要报告。
过程
-
执行以下一个步骤(如果已在使用 AppScan on Cloud 进行静态分析,请跳过此步骤):
-
如果您没有 AppScan on Cloud 订阅,请转到 https://cloud.appscan.com/AsoCUI/serviceui/home 并登录。如果您没有订阅,请使用链接创建 HCL 标识。然后,使用服务中提供的链接来注册免费使用版本或收费订阅。
-
在 AppScan on Cloud 服务中,创建应用程序,然后单击创建扫描。
-
在您今天要扫描什么类型的应用程序?屏幕中,选择桌面或 。
-
如果先前未下载和设置 Static Analyzer Command Line Utility,请现在执行这些操作。有关更多信息,请参阅设置 Static Analyzer Command Line Utility。
-
在 AppScan Source 产品或所选择的工具中生成评估(.ozasmt 文件)。支持 V9.0 或更高版本。
-
使用 Static Analyzer Command Line Utility 命令行界面 (CLI) 生成中间表示(IRX 或 .irx)文件来进行评估(.ozasmt 文件):
-
将 Static Analyzer Command Line Utility 抽取到本地磁盘后,将 \bin 目录的位置添加到
PATH
环境变量。如果不执行此操作,则每次发出命令时,都将使用 \bin 目录来限定所有 Static Analyzer Command Line Utility CLI 命令。有关更多信息,请参阅使用命令行界面 (CLI) 生成 IRX 文件。
-
在 Windows™ 上发出以下命令:
appscan package -d <save_path> -f <assessment_file> -n <file_name>
或在 Linux™ 和 macOS 上发出以下命令:
appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
命令参数是可选的:
-d
:指定 -d <save_path>
,其中 <save_path>
是用于保存 IRX 文件的目录。
-f
:指定 -f <assessment_file>
,其中 <assessment_file>
是您希望打包以进行扫描的 .ozasmt 文件。如果 <assessment_file>
文件不在当前目录中,请使用此选项指定评估文件路径和文件名。注: 仅当以下一个或两个语句都满足时,才需要该选项:
- 您是从包含多个评估文件的目录发出的命令。如果该目录仅包含一个评估文件,则未使用
-f
选项时将对该文件打包。
- 您是从不包含评估文件的目录发出的命令。在此情况下,必须使用
-f
选项来指定要打包的评估文件的路径和文件名。
-n
:指定 -n <file_name>
,其中 <file_name>
是 IRX 文件名。您可以指定带有或不带有 .irx 文件扩展名的文件名。如果指定不带有扩展名的文件名,生成文件时将自动添加扩展名。
有关此命令的其他信息(包括用法示例),请参阅 配置命令 (Windows™) 或 配置命令 (Linux™ 和 macOS)。
-
使用 CLI
appscan queue_analysis
(Windows™) 或 appscan.sh queue_analysis
(Linux™ 和 macOS) 命令来上载 IRX 文件:
-
从 CLI 登录服务。在 HCL Cloud Marketplace 中,用于执行此项操作的方法有所不同。有关在 CLI 中认证到服务的详细信息,请参阅 认证命令 (Windows™) 或 认证命令(Linux™ 和 macOS)。
- HCL Cloud Marketplace:
在
Windows™ 上发出以下命令:
appscan api_login -P <password> -u <user_name> -persist
或在
Linux™ 和 macOS 上发出以下命令:
appscan.sh api_login -P <password> -u <user_name> -persist
需要以下参数:
-P
:指定 -P <password>
,其中 <password>
是注册 ASoC 服务时指定的密码。
-u
:指定 -u <user_name>
,其中 <user_name>
是注册 ASoC 服务时指定的电子邮件地址。
该参数是可选的:
-persist
:在登录令牌文件过期后自动尝试重新向服务认证。
-
使用
appscan queue_analysis
(Windows™) 或 appscan.sh queue_analysis
(Linux™ 和 macOS) 命令上载 IRX 文件:
- 在 Windows™ 上发出以下命令:
appscan queue_analysis -a <app_id> -f <file> -n <scan_name>
或在 Linux™ 和 macOS 上发出以下命令:
appscan.sh queue_analysis -a <app_id> -f <file> -n <scan_name>
需要以下参数:
-f
:指定 -f <file>
,其中 <file>
是您希望提交以进行扫描的 IRX 文件或非 IRX 存档。如果文件不在当前目录中,请使用此选项指定文件路径和文件名。注: 仅当以下一个或两个语句都满足时,才需要该选项:
- 您是从包含多个目标文件的目录发出的命令。如果目录仅包含一个目标文件,则在未使用
-f
选项的情况下将提交此文件。
- 您是从不包含目标文件的目录发出的命令。在此情况下,必须使用
-f
选项指定要提交的文件的路径和文件名。
-a
:您提交进行分析的文件(IRX 文件或非 IRX 存档)必须与现有 AppScan on Cloud 应用程序关联。使用此选项,指定 -a <app_id>
,其中 <app_id>
是要关联的应用程序的标识。要确定标识,请使用 list_apps
命令。
- 命令完成时,将显示分析作业的标识。如果要使用 CLI 接收 AppScan on Cloud 分析报告,将需要在
appscan get_result
(Windows™) 或 appscan.sh get_result
(Linux™ 和 macOS) 命令中包含此作业标识,并应记下标识。如果使用 CLI 来接收分析报告,将可选择接收其中包含 ..ozasmt 文件的存档 (.zip) 文件,以便分析报告可在 AppScan Source 中打开。如果只是希望看到 HTML 报告,可使用 CLI 或 AppScan on Cloud Web 客户机来下载报告。
有关使用该命令的详细信息,请参阅 分析命令 (Windows™) 或 分析命令 (Linux™ 和 macOS)。
-
分析完成后,如果使用 CLI 上载了 IRX 或者如果在 AppScan on Cloud Web 客户机中选中了扫描完成后向我发送电子邮件复选框,将收到电子邮件。
-
选择用于检索分析报告的方法。可使用 CLI
appscan get_result
(Windows™) 或 appscan.sh get_result
(Linux™ 和 macOS) 命令,或者可使用 AppScan on Cloud Web 客户机。如果使用 CLI 来接收分析报告,将可选择接收其中包含 ..ozasmt 文件的存档 (.zip) 文件,以便分析报告可在 AppScan Source 中打开。如果只是希望看到 HTML 报告,可使用 CLI 或 AppScan on Cloud Web 客户机来下载报告。
-
如果想要使用 CLI
appscan get_result
(Windows™) 或 appscan.sh get_result
(Linux™ 和 macOS) 命令来检索分析报告,请完成此步骤:
-
确保您已从 CLI 登录到服务。
-
在 Windows™ 上发出以下命令:
appscan get_result -d <file_path> -i <job_id> -t <type>
或在 Linux™ 和 macOS 上发出以下命令:
appscan.sh get_result -d <file_path> -i <job_id> -t <type>
该参数是必需的:
-i
:指定 -i <job_id>
,其中 <job_id>
是分析作业的标识。
注: 如果发出
appscan queue_analysis
(Windows™) 或
appscan.sh queue_analysis
(Linux™ 和 macOS) 命令时没有
记下标识,则可使用
appscan list
(Windows™) 或
appscan.sh list
(Linux™ 和 macOS) 命令来查看所有分析作业的列表。有关更多信息,请参阅
分析命令 (Windows™) 或
分析命令 (Linux™ 和 macOS)。
以下参数是可选的:
有关使用该命令的详细信息,请参阅 结果命令 (Windows™) 或 结果命令 (Linux™ 和 macOS)。
-
如果只是希望看到 HTML 报告,可使用 AppScan on Cloud Web 客户机来下载报告。如果想要使用 Web 客户机来检索分析报告,请完成此步骤:
登录服务之后,应自动看到扫描的列表(如果已导航至服务的另一个部分,单击右上角的 X 图标以返回到扫描的列表)。在扫描列表中,找到扫描并选择下载图标,然后选择 XML 或 HTML 格式。
要详细了解 HCL Cloud Marketplace 上的 AppScan on Cloud 扫描结果,请参阅 结果。