如果您有 HCL AppScan on Cloud 訂閱,您可以提交 AppScan Source 評量以進行分析。支援 AppScan Source 9.0 版或更新版本的評量。您可以提交的掃描數量取決於您的 ASoC 訂閱。
執行這項作業的原因和時機
當您使用 AppScan on Cloud 服務的靜態分析功能時,您可以產生使用「智慧型發現項目分析 (IFA)」的安全分析報告。IFA 是功能強大的機器學習技術,除其他功能外,還可透過過濾誤判,以及分組可在單一程式碼位置修正補救的發現項目,從而為您執行許多的分類工作。如果要進一步瞭解 IFA,請參閱這篇文章。
如果您使用 AppScan Source 9.0 版或更新版本,而且有 AppScan on Cloud 訂閱,您可以將 AppScan Source 評量上傳到 AppScan on Cloud 來獲得這項技術的好處。然後,你會收到由 IFA 自動分類的新評量。這個評量可能是 HTML 報告或是可以在 AppScan Source 產品中開啟的評量。
- 如果您擁有付費的 AppScan on Cloud 訂閱,則可以掃描另外 10 個 AppScan Source 評量。比方說,如果您的訂閱包含 20 個 AppScan on Cloud 掃描,則可以掃描另外 10 個 AppScan Source 評量,總計為 30 個掃描。並行掃描限制(如訂閱中所概述)包含 AppScan Source 評量的掃描。比方說,如果您的訂閱容許同時有 2 個掃描,則會包含 AppScan Source 評量的掃描。
- 如果您擁有試用的 AppScan on Cloud 訂閱,則 AppScan Source 評量的掃描計入容許的掃描總數內。
註: 如果您使用免費試用的 AppScan on Cloud 來掃描 AppScan Source 評量,除了 IFA 所分類的 AppScan Source 評量檔之外,您還可以下載完整的 HTML 報告。對於所有其他掃描類型,如果是免費試用,則只能下載摘要報告。
程序
-
執行下列其中一個步驟(如果您已經使用 AppScan on Cloud 以進行靜態分析,請略過此步驟):
-
如果您沒有 AppScan on Cloud 訂閱,請移至 https://cloud.appscan.com/AsoCUI/serviceui/home 並登入。如果您沒有訂閱,請使用連結來建立 HCL ID。然後使用位在服務的連結來註冊免費試用或付費訂閱。
-
在 AppScan on Cloud 服務中,建立應用程式,然後按一下建立掃描。
-
在今天掃描的應用程式類型?畫面中,選取桌面或。
-
如果您先前未下載和設定 Static Analyzer 指令行公用程式,請現在進行。如需相關資訊,請參閱設定 Static Analyzer 指令行公用程式。
-
在 AppScan Source 產品或您選擇的工具中產生評量(.ozasmt 檔)。支援 9.0 版或更新版本。
-
使用 Static Analyzer 指令行公用程式 指令行介面 (CLI) 來產生評量(.ozasmt 檔)的中間表示法(IRX 或 .irx)檔:
-
將 Static Analyzer 指令行公用程式 解壓縮到本端磁碟機之後,請將其 \bin 目錄的位置新增到
PATH
環境變數。否則,每次發出指令時,您都需要使用 \bin 目錄來限定所有的 Static Analyzer 指令行公用程式 CLI 指令。如需相關資訊,請參閱使用指令行介面 (CLI) 產生 IRX 檔案。
-
在 Windows™ 上發出此指令:
appscan package -d <save_path> -f <assessment_file> -n <file_name>
或在 Linux™ 及 macOS 上發出此指令:
appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
指令引數是選用的:
-d
:指定 -d <save_path>
,其中 <save_path>
是您想要儲存 IRX 檔案的目錄。
-f
:指定 -f <assessment_file>
,其中 <assessment_file>
是您要包裝以進行掃描的 .ozasmt 檔案。如果 <assessment_file>
檔案不在現行目錄中,請使用此選項來指定評量檔案路徑及檔名。註: 只有在符合下列其中一個或兩個陳述式時,才需要此選項:
- 當您從包含多個評量檔的目錄中發出指令。如果目錄只包含一個評量檔,則未使用
-f
選項時,將會包裝該檔案。
- 當您從未包含評量檔的目錄中發出指令。在此情況下,必須使用
-f
選項來指定要包裝的評量檔所在路徑及檔名。
-n
:指定 -n <file_name>
,其中 <file_name>
是 IRX 檔案名稱。指定檔名時不一定要有 .irx 副檔名。如果您指定的檔案名稱沒有副檔名,系統會在產生檔案時自動為您新增副檔名。
在 配置指令 (Windows™) 或 配置指令 (Linux™ 及 macOS) 中,會提供此指令的其他相關資訊,包括使用範例。
-
使用 CLI
appscan queue_analysis
(Windows™) 或 appscan.sh queue_analysis
(Linux™ 與 macOS) 指令來上傳 IRX 檔案:
-
從 CLI 登入服務。執行此操作的方法與在 HCL Cloud Marketplace 不同。在 鑑別指令 (Windows™) 或 鑑別指令(Linux™ 及 macOS) 中,會提供在 CLI 對服務進行鑑別的相關詳細資訊。
- HCL Cloud Marketplace:
在
Windows™ 上發出此指令:
appscan api_login -P <password> -u <user_name> -persist
或在
Linux™ 及 macOS 上發出此指令:
appscan.sh api_login -P <password> -u <user_name> -persist
這些引數是必要的:
-P
:指定 -P <password>
,其中 <password>
是您登錄 ASoC 服務時指定的密碼。
-u
:指定 -u <user_name>
,其中 <user_name>
是您登錄 ASoC 服務時指定的電子郵件位址。
此引數是選用的:
-persist
:在登入記號檔到期時,自動嘗試重新接受服務的鑑別。
-
使用
appscan queue_analysis
(Windows™) 或 appscan.sh queue_analysis
(Linux™ 與 macOS)指令來上傳 IRX 檔案:
- 在 Windows™ 上發出此指令:
appscan queue_analysis -a <app_id> -f <file> -n <scan_name> -nen -oso -ps -sao
或在 Linux™ 與 macOS 上發出此指令:
appscan.sh queue_analysis -a <app_id> -f <file> -n <scan_name> -nen -oso -ps -sao
這些引數是必要的:
-f
:指定 -f <file>
,其中 <file>
是您要提交以進行掃描的 IRX 檔案或非 IRX 封存。如果檔案不在現行目錄中,請使用此選項來指定檔案路徑及檔名。註: 只有在符合下列其中一個或兩個陳述式時,才需要此選項:
- 您是從包含多個目標檔案的目錄中發出指令。如果目錄只包含一個目標檔案,則未使用
-f
選項時,將會提交該檔案。
- 您是從未包含目標檔案的目錄中發出指令。在此情況下,必須使用
-f
選項來指定要提交之檔案的路徑及檔名。
-a
:您提交進行分析的檔案(IRX 檔案或非 IRX 封存)必須與現有 AppScan on Cloud 應用程式相關聯。請使用這個選項指定 -a <app_id>
, 其中 <app_id>
是要關聯的應用程式 ID。如果要判斷 ID, 請使用 list_apps
指令。
- 當指令完成時,將顯示分析工作的 ID。如果您要使用 CLI 來接收 AppScan on Cloud 分析報告,您需要在
appscan get_result
(Windows™) 或 appscan.sh get_result
(Linux™ 及 macOS) 指令中併入此工作 ID - 您應記下此 ID。如果您使用 CLI 來接收分析報告,您可以選擇接收包含 .ozasmt 檔的封存 (.zip),就能在 AppScan Source 中開啟分析報告。如果只有興趣查看 HTML 報告,您可以使用 CLI 或 AppScan on Cloud Web 用戶端來下載報告。
分析指令 (Windows™) 或 分析指令 (Linux™ 與 macOS) 中會提供使用此指令的相關詳細資料。
-
如果您使用 CLI 來上傳 IRX,或在 AppScan on Cloud Web 用戶端中選取掃描完成時以電子郵件通知我勾選框,當掃描完成時,您會收到電子郵件。
-
選擇擷取分析報告的方法。您可以使用 CLI
appscan get_result
(Windows™) 或 appscan.sh get_result
(Linux™ 及 macOS) 指令 - 或是可以使用 AppScan on Cloud Web 用戶端。如果您使用 CLI 來接收分析報告,您可以選擇接收包含 .ozasmt 檔的封存 (.zip),就能在 AppScan Source 中開啟分析報告。如果只有興趣查看 HTML 報告,您可以使用 CLI 或 AppScan on Cloud Web 用戶端來下載報告。
-
如果您要使用 CLI
appscan get_result
(Windows™) 或 appscan.sh get_result
(Linux™ 及 macOS) 指令來擷取分析報告,請完成此步驟:
-
請確定您已從 CLI 登入服務。
-
在 Windows™ 上發出此指令:
appscan get_result -d <file_path> -i <job_id> -t <type>
或在 Linux™ 及 macOS 上發出此指令:
appscan.sh get_result -d <file_path> -i <job_id> -t <type>
此引數是必要的:
-i
:指定 -i <job_id>
,其中 <job_id>
是分析工作的 ID。
註: 如果在發出
appscan queue_analysis
(Windows™) 或
appscan.sh queue_analysis
(Linux™ 與 macOS) 指令時未
記下 ID,您可以使用
appscan list
(Windows™) 或
appscan.sh list
(Linux™ 與 macOS) 指令來查看所有分析工作的清單。如需相關資訊,請參閱
分析指令 (Windows™) 或
分析指令 (Linux™ 與 macOS)。
這些引數是選用的:
結果指令(Windows™) 或 結果指令 (Linux™ 及 macOS) 中會提供使用此指令的相關詳細資料。
-
如果只有興趣查看 HTML 報告,您可以使用 AppScan on Cloud Web 用戶端來下載報告。如果您要使用 Web 用戶端來擷取分析報告,請完成此步驟:
當您登入服務時,應該會自動看到您的掃描清單(如果您已導覽至服務的另一個區段,請按一下右上方的 X 圖示以回到掃描清單)。在掃描清單中,找到掃描並選取下載圖示,然後選擇 XML 或 HTML 格式。
如果要在 HCL Cloud Marketplace 進一步瞭解 AppScan on Cloud 掃描結果,請參閱結果。