Envoi d'évaluations AppScan® Source vers le cloud à des fins d'analyse

Si vous avez un abonnement à HCL AppScan on Cloud dans HCL Cloud Marketplace, vous pouvez soumettre des évaluations AppScan® Source pour analyse ici. Les évaluations des versions 9.0 ou ultérieures d'AppScan® Source sont prises en charge et le nombre d'examens que vous pouvez soumettre dépend de votre abonnement à AppScan sur Cloud.

Pourquoi et quand exécuter cette tâche

Lorsque vous utilisez la analyse statique fonction d'AppScan sur Cloud du service , vous pouvez générer des rapports d'analyse de sécurité utilisant la technologie IFA (Intelligent Finding Analytics). IFA est une technologie d'apprentissage machine performante qui, entre autres choses, effectue la plupart du travail de triage pour vous en filtrant les faux positifs et en regroupant les résultats qui ne peuvent pas être résolus par un correctif dans un point de code. Pour en savoir plus sur IFA, consultez cet article.

Si vous utilisez AppScan® Source version 9.0 ou une version ultérieure et disposez d'un abonnement à AppScan sur Cloud, vous pouvez bénéficier de cette technologie en téléchargeant votre évaluation AppScan® Source vers AppScan sur Cloud. En retour, vous recevrez une nouvelle évaluation qui a été automatiquement triée par cette technologie. Cette évaluation peut se présenter sous la forme d'un rapport HTML ou d'une évaluation qui peut être ouverte dans votre produit AppScan® Source.

Si vous possédez un abonnement à AppScan sur Cloud, il est possible que ayez un nombre limité d'examens par mois. Voir https://help.hcl-software.com/appscan/ASoC/src_managing_assessments_cloud.html pour obtenir des informations supplémentaires sur les autorisations relatives aux examens et aux examens simultanés.

Remarque : Si vous examinez une évaluation AppScan® Source avec une version d'essai gratuite d'AppScan sur Cloud, vous pouvez télécharger un rapport HTML complet, en plus du fichier d'évaluation AppScan® Source trié par l'IFA. Pour tous les autres types d'examen, vous pouvez uniquement télécharger un rapport récapitulatif si vous disposez d'une version d'essai gratuite.

Procédure

  1. Ignorez cette étape si vous utilisez déjà AppScan sur Cloud pour l'analyse statique  :
    1. Si vous n'avez pas d'abonnement à AppScan sur Cloud, accédez à https://cloud.appscan.com/AsoCUI/serviceui/home et connectez-vous à l'aide de votre ID HCL. Si vous ne possédez pas d'ID HCL, utilisez le lien qui vous permet d'en créer un. Inscrivez-vous ensuite pour obtenir une version d'essai gratuite ou un abonnement payant à l'aide des liens du service.
    2. HCL Cloud Marketplace uniquement : Dans le service AppScan sur Cloud, créez une application (voir https://help.hcl-software.com/appscan/ASoC/ent_create_application.html) puis cliquez sur Créer un examen.
    3. Dans l'écran Quel type d'application examinez-vous aujourd'hui ?, sélectionnez Bureau ou Web > Statique.
    4. Si vous n'avez pas encore téléchargé et configuré l'Utilitaire client Static Analyzer, faites-le dès maintenant Voir https://help.hcl-software.com/appscan/ASoC/src_utility_install.html pour plus d'informations.
  2. Générez une évaluation (fichier .ozasmt) dans le produit AppScan® Source ou avec l'outil de votre choix. Les versions 9.0 et ultérieures sont prises en charge.
  3. Utilisez la commande Utilitaire client client interface de ligne de commande (CLI) pour générer un fichier représentation intermédiaire (IRX ou .irx) pour l'évaluation (fichier .ozasmt) :
    1. Après avoir extrait l'Utilitaire client vers une unité locale, ajoutez l'emplacement de son répertoire \bin dans votre variable d'environnement PATH. Si vous n'effectuez pas cette opération, toutes les commandes CLI de l'Utilitaire client auront besoin d'être qualifiées à l'aide du répertoire \bin à chaque fois que la commande sera émise. Voir https://help.hcl-software.com/appscan/ASoC/src_irx_gen_cli.html pour plus d'informations.
    2. Emettez la commande suivante sur Windows :
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      ou la commande suivante sur Linux :

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

      Les arguments de commande sont facultatifs :

      • -d : indiquez -d <save_path>, où <save_path> est le répertoire dans lequel vous souhaitez enregistrer le fichier IRX.
      • -f : indiquez -f <assessment_file>, où <assessment_file> est le fichier .ozasmt que vous souhaitez envoyer pour examen. Si le fichier <assessment_file> ne se trouve pas dans le répertoire actuel, utilisez cette option pour spécifier le chemin et le nom du fichier d'évaluation.
        Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
        • Vous lancez la commande depuis un répertoire qui contient plusieurs fichiers d'évaluation. Si le répertoire contient un seul fichier d'évaluation, ce fichier est conditionné si l'option -f n'est pas utilisée.
        • Vous lancez la commande depuis un répertoire qui ne contient pas de fichiers d’évaluation. Dans ce cas, vous devez utiliser l'option -f pour spécifier le chemin d'accès et le nom du fichier d'évaluation à conditionner.
      • -n : indiquez -n <file_name>, où <file_name> est le nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l'extension de fichier .irx. Si vous le spécifiez sans l'extension, celle-ci est ajoutée automatiquement lorsque le fichier est généré.

      Vous trouverez des informations supplémentaires sur la commande package, notamment des exemples d'utilisation sous Commandes de configuration (Windows) ou Commandes de configuration (Linux).

  4. Utilisez la commande queue_analysis de l'interface de ligne de commande pour télécharger le fichier :IRX
    1. Connectez-vous au service à partir de l'interface de ligne de commande. Vous trouverez des informations détaillées sur l'authentification auprès du service dans l'interface CLI sous Commandes d'authentification (Windows) ou Commandes d'authentification (Linux).
      • HCL Cloud Marketplace :

        Emettez la commande suivante sur Windows :

        appscan scx_login -P <password> -u <user_name> -persist

        ou la commande suivante sur Linux :

        appscan.sh scx_login -P <password> -u <user_name> -persist

        Les arguments suivants sont obligatoires :

        • -P : indiquez -P <password>, où <password> est le mot de passe que vous avez indiqué lorsque vous vous êtes inscrit au service AppScan sur Cloud.
        • -u : indiquez -u <user_name>, où <user_name> est l'adresse e-mail que vous avez indiquée lorsque vous vous êtes inscrit au service AppScan sur Cloud.

        L'argument suivant est facultatif :

        • -persist : essayez automatiquement de vous authentifier à nouveau auprès du service lorsque le fichier jeton de connexion arrive à expiration.
    2. Téléchargez le fichier IRX à l'aide de la commande :queue_analysis
      • Emettez la commande suivante sur Windows :
        appscan queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        ou la commande suivante sur Linux :

        appscan.sh queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        Les arguments suivants sont obligatoires :

        • -f : indiquez -f <irx_file>, où <irx_file> est le fichier IRX que vous souhaitez envoyer pour examen. Si le fichier IRX ne se trouve pas dans le répertoire de travail, utilisez cette option pour spécifier le chemin et le nom du fichier IRX.
          Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
          • Vous lancez la commande depuis un répertoire qui contient plusieurs fichiers IRX. Si le répertoire ne contient qu'un fichier IRX, ce fichier est soumis si l'option -f n'est pas utilisée.
          • Vous lancez la commande depuis un répertoire qui ne contient pas de fichiers IRX. Dans ce cas, vous devez utiliser l'option -f pour spécifier le chemin d'accès et le nom du fichier IRX à soumettre.
        • -n : indiquez -n <scan_name>, où <scan_name> est le nom de l'examen qui a lieu sur le cloud.
        • -a (HCL Cloud Marketplace uniquement) : Si vous êtes connecté au service AppScan sur Cloud à HCL Cloud Marketplace, les fichiers IRX que vous envoyez vers le cloud doivent être associés à une application AppScan sur Cloud existante. Avec cette option, indiquez -a <app_id>, où <app_id> est l'ID de l'application à laquelle il convient de s'associer. Pour déterminer l'ID, utilisez la commande list_apps.
      • Une fois la commande queue_analysis exécutée, un ID s'affiche pour le travail d'analyse. Si vous souhaitez recevoir le rapport d'analyse d'AppScan sur Cloud via l'interface CLI, vous devrez inclure cet ID de travail dans la commande get_result et noter l'ID.Si vous utilisez l'interface de ligne de commande pour recevoir le rapport d'analyse, vous avez la possibilité de recevoir un fichier d'archive (.zip) comprenant un fichier .ozasmt pour pouvoir ouvrir le rapport d'analyse dans AppScan® Source. Si vous souhaitez uniquement voir un rapport HTML, vous pouvez utiliser l'interface de ligne de commande ou le client Web AppScan sur Cloud pour télécharger le rapport.

      Vous trouverez des détails concernant l'utilisation de la commande queue_analysis sous Commandes d'analyse (Windows) ou Commandes d'analyse (Linux).

  5. Lorsque l'analyse est terminée, vous allez recevoir un courrier électronique si vous avez téléchargé le fichier IRX à l'aide de l'interface de ligne de commande ou si vous avez coché la case M'envoyer un courrier électronique lorsque l'examen est terminé dans le client Web AppScan sur Cloud.
  6. Sélectionnez une méthode d'extraction du rapport d'analyse. Vous pouvez utiliser la commande get_result ou utiliser le client Web AppScan sur Cloud.Si vous utilisez l'interface de ligne de commande pour recevoir le rapport d'analyse, vous avez la possibilité de recevoir un fichier d'archive (.zip) comprenant un fichier .ozasmt pour pouvoir ouvrir le rapport d'analyse dans AppScan® Source. Si vous souhaitez uniquement voir un rapport HTML, vous pouvez utiliser l'interface de ligne de commande ou le client Web AppScan sur Cloud pour télécharger le rapport.
  7. Effectuez cette étape si vous souhaitez utiliser la commande get_result pour extraire le rapport d'analyse :
    1. Vérifiez que vous êtes connecté au service à partir de l'interface de ligne de commande.
    2. Emettez la commande suivante sur Windows :
      appscan get_result -d <file_path> -i <job_id> -t <type>

      ou la commande suivante sur Linux :

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      L'argument suivant est obligatoire :

      • -i : indiquez -i <job_id>, où <job_id> correspond à l'ID du travail d'analyse.
      Remarque : Si vous n'avez pas noté l'ID lors de l'émission de la commande queue_analysis, vous pouvez utiliser la commande appscan list ou appscan.sh list pour afficher une liste de tous les travaux d'analyse. Voir Commandes d'analyse (Windows) ou Commandes d'analyse (Linux) pour de plus amples informations.

      Les arguments suivants sont facultatifs :

      • -d : indiquez -d <file_path>, où <file_path> est le chemin d'accès entièrement qualifié au fichier de destination et/ou le nom de fichier du fichier de destination. Si aucun nom de fichier n'est indiqué, il se base alors sur le nom du travail d'examen. Si aucun chemin d’accès n’est indiqué, le fichier est alors enregistré dans le répertoire actuel. Si cette option n'est pas incluse, le fichier est alors enregistré dans le répertoire actuel avec un nom de fichier basé sur le nom du travail d'examen.
      • -t : indiquez -t <type>, où <type> est soit html, soit zip. Les résultats sont sauvegardés dans un fichier HTML ou dans un fichier .zip contenant les résultats au format HTML. Si cette option n'est pas incluse, les résultats sont sauvegardés dans un fichier HTML.

        Si les résultats de l'examen concernent un fichier IRX qui a été généré par la commande package, indiquez -t zip pour enregistrer des résultats qui contiennent un nouveau fichier .ozasmt pouvant être chargé dans votre produit AppScan® Source version 9.0 ou ultérieure.

      Vous trouverez des détails concernant la commande get_result sous Commandes de résultats (Windows) ou Commandes de résultats (Linux).

  8. Effectuez cette étape si vous souhaitez utiliser le client Web pour extraire le rapport d'analyse : si vous souhaitez uniquement obtenir un rapport HTML, vous pouvez utiliser le client Web d'AppScan sur Cloud pour télécharger le rapport.

    Lorsque vous vous connectez au service, vous devriez voir automatiquement une liste de vos examens (si vous avez navigué vers une autre section du service, cliquez sur l'icône X situé en haut à droite de l'écran pour retourner à la liste des examens). Dans la liste des examens, localisez l'examen et sélectionnez l'icône Télécharger, puis sélectionnez le format XML ou HTML.

    Pour en savoir plus sur les résultats d'examens d'AppScan sur Cloud dans HCL Cloud Marketplace, voir https://help.hcl-software.com/appscan/ASoC/appseccloud_results_dashboard_cm.html.