使用 AppScan Go! 配置掃描
AppScan Go! 會逐步引導您設定和執行靜態掃描。您可以在雲端中執行掃描,或使用外掛程式來自動執行掃描。
開始之前
若要使用 AppScan Go!,請下載並安裝至您的本端系統:
- 在 AppScan on Cloud 中,按一下「建立掃描」以開啟精靈,然後按一下「SAST」。
- 選擇要為其下載公用程式的平台(Windows、Mac 或 Linux),然後按一下下載。
- 將檔案解壓縮並且將公用程式安裝至您的本端系統。
註: 如果您要將 Linux 上的現有 AppScan Go! 安裝更新至更新版本,請使用
-U
選項執行安裝。執行這項作業的原因和時機
程序
-
從您的本端系統啟動 AppScan Go!
您不需要登入 AppScan on Cloud 服務就可以設定掃描。您確實需要登入才能完成掃描。
-
選擇掃描方法:
- 執行完整掃描。
- 建立一個 IRX 檔案,稍後再執行掃描。
- 建立配置檔以進行自動掃描。
-
指定要掃描的檔案位置、掃描模式和類型,然後按一下「下一步」。
-
AppScan Go! 會從選取的資料夾擷取適合的檔案,並列出以供檢閱。檢閱、選取或取消選取檔案,然後按「下一步」。
-
如果您改選執行完整掃描,或準備一個 IRX 檔案,請設定掃描設定,然後按「下一步」。
註: 您必須登入 AppScan on Cloud 才能查看可用應用程式的清單。
設定 說明 掃描名稱 指定掃描的名稱,或接受由 AppScan on Cloud 建立的預設名稱。 相關聯的應用程式 執行完整掃描時,請選擇要與掃描建立關聯的應用程式。 掃描速度選項(僅 SAST) 根據需要與時間需求,選擇「一般」、「快速」、「較快」或「最快」的掃描。請注意,掃描速度不是 SCA/開放原始碼掃描的可配置選項。 normal
掃描會執行綜合性的分析,識別最詳細的漏洞清單,因此完成所需的時間最久。fast
掃描會對您的檔案執行更完整的分析,以識別漏洞,通常需要較久的時間才能完成。faster
掃描提供中等層次的安全問題分析和識別,完成所需的時間比「最快」掃描稍微久一點。fastest
掃描會執行檔案的表面層次分析,為您識別最需要補救的緊迫問題。此類掃描完成所需的時間最短。註: 掃描速度與在程式碼中找到的漏洞數目不一定相關。例如,normal
分析可能會排除fastest
掃描報告中的誤判,因此報告的漏洞較少。
掃描喜好設定 執行完整掃描時,請指定掃描喜好設定: - 以個人掃描執行:指示掃描是否保持為私密,且不包含於保護傘專案資料中。
- 發現項目就緒時,透過電子郵件通知我:指示是否在掃描完成時傳送電子郵件。這對於一般掃描特別有幫助。
-
如果您改選執行完整掃描,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在
<user_home>/.appscan/temp
目錄中建立 IRX 檔案。接著 AppScan Go! 會將產生的 IRX 檔案上傳至 AppScan on Cloud 服務。掃描上傳完成後,請按一下完成。 -
如果您改選建立 IRX 檔案,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在
<user_home>/.appscan/temp
目錄中建立 IRX 檔案。檔案產生完成後,按一下「完成」。 -
如果您選擇建立配置檔以進行自動掃描,AppScan on Cloud 會將掃描配置檔 (appscan-config.xml) 連同您要掃描的檔案儲存至資料夾。按一下「完成」,以結束 AppScan Go!
此時您可以結束公用程式,稍後再繼續執行;登入 AppScan on Cloud 服務並立即設定和執行掃描,或使用所列其中一個外掛程式來自動掃描配置檔。註: 如需使用配置檔的其他資訊,請參閱「使用 CLI 配置 IRX 檔案產生」。
- 開啟 AppScan on Cloud 以檢閱掃描的狀態或結果,或使用 AppScan Go! 產生的 IRX 檔案開始掃描