设置 Static Analyzer Command Line Utility
对于静态分析,下载小型 Command Line Utility。将该实用程序解压缩到本地磁盘时,可以使用其命令行界面 (CLI) 来执行安全性分析。
关于此任务
使用静态分析时,扫描源代码以生成将上载到云的文件。将使用跟踪分析来扫描文件(加密 IRX (.irx) 文件)以查找安全漏洞。
- 针对编译的语言生成 IRX 文件时,应用程序字节代码文件将转换为代码的中间表示。
- 针对脚本编制语言生成 IRX 文件时,源文件将包含在加密 IRX 文件中。
- 使用 Eclipse 或 Visual Studio 插件时,将从 IDE 自动生成和上载 IRX 文件。
重要: Command Line Utility 不应该放在包含非 ASCII 字符的目录中。
过程
要设置 Command Line Utility:
-
选择计划运行 Command Line Utility 的平台,然后单击下载。这将下载
SAClientUtil_<version>_<os>.zip
文件(其中,<version> 是 Command Line Utility 的当前版本,<os> 是 Command Line Utility 所适用的操作系统)。注: 可再次打开欢迎表单,方法是选择表单中的我如何创建 IRX 文件?来选择 IRX 文件。 - 将文件抽取到本地驱动器。
-
如果计划将 CLI 用于IRX 文件生成,上载IRX 文件或管理扫描:将抽取的
SAClientUtil_<version>_<os>.zip
文件所在的 \bin 目录位置添加到PATH
环境变量。如果未执行此操作,则每次发出命令时,都需要使用抽取的SAClientUtil_<version>_<os>.zip
文件的 \bin 目录来限定所有命令。提示: 更改PATH
后,在命令提示符上发出appscan version
(Windows™) 或appscan.sh version
(Linux™ 和 macOS)。如果返回了 Static Analyzer Command Line Utility 版本、主目录和其他信息,那么PATH
已正确设置。
下一步做什么
如果要在代理之后的计算机上运行 Command Line Utility,请使用以下某个用于指定代理的方法,以便 Command Line Utility 可连接到云:
- Command Line Utility CLI 和受支持集成开发环境 (IDE):设置该全局或系统环境变量,以便可自动识别代理:
- Windows:
APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
- Linux 和 macOS:
APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
其中
<proxy>
是代理服务器的主机名,<port>
是代理服务器正在使用的端口号。或者,每次使用 CLI 或 IDE(从命令提示符或终端启动)时,可通过发出以下命令将 Command Line Utility 设置为使用代理:
- Windows™:
set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
- Linux™ 和 macOS:
export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
- Windows:
- Maven:如果已将静态分析插件添加到 Maven,可全局地将属性添加到
MAVEN_OPTS
环境变量,或者可将属性添加到每个命令。
注: 为了充分利用 AppScan on Cloud 功能,Static Analyzer Command Line Utility 和所有插件必须是最新版本:
- 会定期发布 Static Analyzer Command Line Utility 更新,并且详细信息会在最近更新中列出。更新可能包括:
- 新语言支持
- 更新的语言支持(例如,与受支持语言相关联的新文件类型)
- 新功能
- 修复
- 插件在运行时会自动下载最新版本的 Static Analyzer Command Line Utility。
- 如果尝试使用过时版本的 Static Analyzer Command Line Utility 准备用于扫描的代码,您可能会看到一条消息,指示您将实用程序更新到最新版本。升级至最新版本的 Static Analyzer Command Line Utility,具体取决于您的操作系统(Windows、Linux、Mac)。
- 如果您正在使用 AppScan Go!,请接受并安装最新更新(如果提供了更新)。