使用 AppScan Go! 配置掃描

AppScan Go! 會逐步引導您設定和執行靜態掃描。請在雲端中執行掃描,或使用外掛程式來自動執行掃描。

開始之前

若要使用 AppScan Go!請下載並安裝至您的本端系統:
  1. AppScan on Cloud 中:
    1. 按一下「建立掃描」以開啟精靈。
    2. 按一下「SAST」。
    3. 按一下「上傳要掃描的封存檔」。
  2. 在精靈的「產生 IRX 檔案」區段中,選擇要下載公用程式的平台(Windows、Mac 或 Linux),然後按一下「下載」。
    重要: AppScan Go! 需要 Static Analyzer 指令行公用程式 (SAClientUtil)。AppScan 360° 使用者必須使用 Static Analyzer 指令行公用程式AppScan Go!(隨附於 AppScan 360° 安裝)的版本。AppScan on Cloud 使用者必須使用從 AppScan on Cloud 服務下載的版本。它們無法交換。
  3. 將檔案解壓縮並且將公用程式安裝至您的本端系統:
    • 在 Windows 系統上,啟動 appscan-go-2.3.0-installer.exe 並依照提示操作。
    • 在 Linux 和 Mac 系統上,從終端機執行 appscan-go-installer.sh

    安裝會設定 AppScan Go!Static Analyzer 指令行公用程式

註: 必要的話,請配置 AppScan Go! 以使用系統 Proxy

執行這項作業的原因和時機

使用 AppScan Go! 可讓您先行在本端配置掃描,然後在服務中執行分析。

程序

  1. 從您的本端系統啟動 AppScan Go!
    您不需要登入 AppScan on Cloud 服務就可以設定掃描。您確實需要登入才能完成掃描。
  2. 選擇掃描方法:
    • 執行完整掃描。
    • 建立一個 IRX 檔案,稍後再執行掃描。
    • 建立配置檔以進行自動掃描。
  3. 指定要掃描的檔案位置、掃描模式和類型,然後按一下「下一步」。
    1. 指定要掃描的專案檔案位置:本端目錄或軟體配置管理 (SCM) 儲存庫。
      • 如果您要掃描本端儲存庫,請瀏覽至包含要掃描檔案的資料夾,然後按一下「選取資料夾」。AppScan Go! 可讓您僅選擇資料夾。
      • 如果您要掃描儲存庫,請輸入 SCM 儲存庫 URL、點按「連接至儲存庫」、登入 SCM,然後選取正確的分支。
        註: 請確定您已安裝 Git 2.40.1 版或更新版本,且使用個人存取記號進行鑑別。

        AppScan Go! 支援連線至 GitHub、GitLab 和 BitBucket。

    2. 指出一或多種掃描類型:靜態分析、軟體組成分析(開放原始碼)或機密掃描
      註: SCA(開放原始碼)掃描需要適當的授權。
      註: 機密掃描會在組織層級啟用或停用,但在此勾選或取消勾選「機密」會覆寫該設定。
    3. 指定是否要掃描編譯的程式碼(位元組代碼)或未編譯的原始碼。
      AppScan Go! 會自動建議檔案集的最佳掃描模式。
  4. AppScan Go! 會從選取的資料夾擷取適合的檔案,並列出以供檢閱。檢閱、選取或取消選取檔案,然後按「下一步」。
  5. 如果您改選執行完整掃描,或準備一個 IRX 檔案,請設定掃描設定,然後按「下一步」。
    註: 您必須登入 AppScan on Cloud 才能查看可用應用程式的清單。
    設定說明
    掃描名稱 指定掃描的名稱,或接受由 AppScan Go! 建立的預設名稱。
    相關聯的應用程式 執行完整掃描時,請選擇要與掃描建立關聯的應用程式。
    掃描速度選項(僅 SAST) 根據需要與時間需求,選擇「一般」、「快速」、「較快」或「最快」的掃描。請注意,掃描速度不是 SCA/開放原始碼掃描的可配置選項。
    • normal 掃描會執行綜合性的分析,識別最詳細的漏洞清單,因此完成所需的時間最久。
    • fast 掃描會對您的檔案執行更完整的分析,以識別漏洞,通常需要比 normal 掃描更久的時間才能完成。
    • faster 掃描提供中等層次的安全問題分析和識別,完成所需的時間比「最快」掃描稍微久一點。
    • fastest 掃描會執行檔案的表面層次分析,為您識別最需要補救的緊迫問題。此類掃描完成所需的時間最短。
      註: 掃描速度與在程式碼中找到的漏洞數目不一定相關。例如,normal 分析可能會排除 fastest 掃描報告中可能出現的誤判,因此報告的漏洞較少。
    掃描喜好設定 執行完整掃描時,請指定掃描喜好設定:
    • 以個人掃描執行:指示掃描是否保持為私密,且不包含於保護傘專案資料中。
    • 發現項目就緒時,透過電子郵件通知我:指示是否在掃描完成時傳送電子郵件。這對於一般掃描特別有幫助。
    • 允許介入如果選取此選項,若掃描失敗或沒有發現任何問題,我們的掃描啟用團隊會嘗試修正配置。結果可能會延遲。
  6. 如果您改選執行完整掃描,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在指定的掃描位置建立 IRX 檔案。接著 AppScan Go! 會將產生的 IRX 檔案上傳至 AppScan on Cloud 服務。掃描上傳完成後,請按一下完成
    註: 您必須登入 AppScan 服務才能完成掃描。請參閱帳戶資訊
  7. 如果您改選建立 IRX 檔案,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在指定的掃描位置建立 IRX 檔案。檔案產生完成後,按一下「完成」。
  8. 如果您選擇建立配置檔以進行自動掃描,AppScan on Cloud 會將掃描配置檔 (appscan-config.xml) 連同您要掃描的檔案儲存至資料夾。按一下「完成」,以結束 AppScan Go!
    此時您可以結束公用程式,稍後再繼續執行;登入 AppScan on Cloud 服務並立即設定和執行掃描,或使用所列其中一個外掛程式來自動掃描配置檔。
    註: 如需使用配置檔的其他資訊,請參閱「使用 CLI 配置 IRX 檔案產生」。
  9. 開啟 AppScan on Cloud 以檢閱掃描的狀態或結果,或使用 AppScan Go! 產生的 IRX 檔案開始掃描