使用 AppScan Go! 配置掃描

AppScan Go! 會逐步引導您設定和執行靜態掃描。您可以在雲端中執行掃描,或使用外掛程式來自動執行掃描。

開始之前

若要使用 AppScan Go!,請下載並安裝至您的本端系統:
  1. AppScan on Cloud 中,按一下「建立掃描」以開啟精靈,然後按一下「SAST」。
  2. 選擇要為其下載公用程式的平台(Windows、Mac 或 Linux),然後按一下下載
  3. 將檔案解壓縮並且將公用程式安裝至您的本端系統。
註: 如果您要將 Linux 上的現有 AppScan Go! 安裝更新至更新版本,請使用 -U 選項執行安裝。
註: 必要的話,請配置 AppScan Go! 以使用系統 Proxy

執行這項作業的原因和時機

使用 AppScan Go! 可讓您先行在本端配置掃描,然後在服務中執行分析。

程序

  1. 從您的本端系統啟動 AppScan Go!
    您不需要登入 AppScan on Cloud 服務就可以設定掃描。您確實需要登入才能完成掃描。
  2. 選擇掃描方法:
    • 執行完整掃描。
    • 建立一個 IRX 檔案,稍後再執行掃描。
    • 建立配置檔以進行自動掃描。
  3. 指定要掃描的檔案位置、掃描模式和類型,然後按一下「下一步」。
    1. 指定要掃描的專案檔案位置:本端目錄或軟體配置管理 (SCM) 儲存庫。
      • 如果您要掃描本端儲存庫,請瀏覽至包含要掃描檔案的資料夾,然後按一下「選取資料夾」。AppScan Go! 可讓您僅選擇資料夾。
      • 如果您要掃描儲存庫,請輸入 SCM 儲存庫 URL、登入 SCM,然後選取正確的分支。
        註: 請確定您已安裝 Git 2.40.1 版或更新版本,且使用個人存取記號進行鑑別。

        AppScan Go! 支援連線至 GitHub、GitLab 和 BitBucket。

    2. 指出一或多種掃描類型:靜態分析、軟體組成分析(開放原始碼)或秘密掃描。
    3. 指定是否要掃描編譯的程式碼(位元組代碼)或未編譯的原始碼。
      AppScan Go! 會自動建議檔案集的最佳掃描模式。
  4. AppScan Go! 會從選取的資料夾擷取適合的檔案,並列出以供檢閱。檢閱、選取或取消選取檔案,然後按「下一步」。
  5. 如果您改選執行完整掃描,或準備一個 IRX 檔案,請設定掃描設定,然後按「下一步」。
    註: 您必須登入 AppScan on Cloud 才能查看可用應用程式的清單。
    設定說明
    掃描名稱 指定掃描的名稱,或接受由 AppScan on Cloud 建立的預設名稱。
    相關聯的應用程式 執行完整掃描時,請選擇要與掃描建立關聯的應用程式。
    掃描速度選項(僅 SAST) 根據需要與時間需求,選擇「一般」、「快速」、「較快」或「最快」的掃描。請注意,掃描速度不是 SCA/開放原始碼掃描的可配置選項。
    • normal 掃描會執行綜合性的分析,識別最詳細的漏洞清單,因此完成所需的時間最久。
    • fast 掃描會對您的檔案執行更完整的分析,以識別漏洞,通常需要較久的時間才能完成。
    • faster 掃描提供中等層次的安全問題分析和識別,完成所需的時間比「最快」掃描稍微久一點。
    • fastest 掃描會執行檔案的表面層次分析,為您識別最需要補救的緊迫問題。此類掃描完成所需的時間最短。
      註: 掃描速度與在程式碼中找到的漏洞數目不一定相關。例如,normal 分析可能會排除 fastest 掃描報告中的誤判,因此報告的漏洞較少。
    掃描喜好設定 執行完整掃描時,請指定掃描喜好設定:
    • 以個人掃描執行:指示掃描是否保持為私密,且不包含於保護傘專案資料中。
    • 發現項目就緒時,透過電子郵件通知我:指示是否在掃描完成時傳送電子郵件。這對於一般掃描特別有幫助。
  6. 如果您改選執行完整掃描,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在 <user_home>/.appscan/temp 目錄中建立 IRX 檔案。接著 AppScan Go! 會將產生的 IRX 檔案上傳至 AppScan on Cloud 服務。掃描上傳完成後,請按一下完成
    註: 您必須登入 AppScan 服務才能完成掃描。請參閱帳戶資訊
  7. 如果您改選建立 IRX 檔案,AppScan Go! 會收集目錄及其所有子目錄中任何受支援檔案的資訊,然後在 <user_home>/.appscan/temp 目錄中建立 IRX 檔案。檔案產生完成後,按一下「完成」。
  8. 如果您選擇建立配置檔以進行自動掃描,AppScan on Cloud 會將掃描配置檔 (appscan-config.xml) 連同您要掃描的檔案儲存至資料夾。按一下「完成」,以結束 AppScan Go!
    此時您可以結束公用程式,稍後再繼續執行;登入 AppScan on Cloud 服務並立即設定和執行掃描,或使用所列其中一個外掛程式來自動掃描配置檔。
    註: 如需使用配置檔的其他資訊,請參閱「使用 CLI 配置 IRX 檔案產生」。
  9. 開啟 AppScan on Cloud 以檢閱掃描的狀態或結果,或使用 AppScan Go! 產生的 IRX 檔案開始掃描