Envoi d'évaluations AppScan® Source vers le cloud à des fins d'analyse

Si vous disposez d'un abonnement HCL AppScan on Cloud à HCL Cloud Marketplace, vous pouvez soumettre des évaluations AppScan® Source pour analyse ici. Les évaluations des versions 9.0 ou ultérieures d'AppScan® Source sont prises en charge et le nombre d'examens que vous pouvez soumettre dépend de votre abonnement à AppScan on Cloud.

Pourquoi et quand exécuter cette tâche

Lorsque vous utilisez la static analysis fonctionnalité du service AppScan on Cloud, vous pouvez générer des rapports d'analyse de sécurité utilisant la technologie IFA (Intelligent Finding Analytics). L'IFA est une puissante technologie d'apprentissage automatique qui effectue une grande partie du travail de triage à votre place, notamment en filtrant les faux positifs et en regroupant les résultats qui ne peuvent pas être résolus par un correctif dans un point de code. Pour en savoir plus sur IFA, consultez cet article.

Si vous utilisez AppScan® Source version 9.0 ou une version ultérieure et disposez d'un abonnement à AppScan on Cloud, vous pouvez bénéficier de cette technologie en chargeant votre évaluation AppScan® Source sur AppScan on Cloud. En retour, vous recevrez une nouvelle évaluation qui a été automatiquement triée par cette technologie. Cette évaluation peut se présenter sous la forme d'un rapport HTML ou d'une évaluation qui peut être ouverte dans votre produit AppScan® Source.

Si vous possédez un abonnement à AppScan on Cloud, il est possible que ayez un nombre limité d'examens par mois. Voir https://help.hcl-software.com/appscan/ASoC/src_managing_assessments_cloud.html pour obtenir des informations supplémentaires sur les autorisations relatives aux examens et aux examens simultanés.

Remarque : Si vous examinez une évaluation AppScan® Source avec une version d'essai gratuite d'AppScan on Cloud, vous pouvez télécharger un rapport HTML complet, en plus du fichier d'évaluation AppScan® Source trié par l'IFA. Pour tous les autres types d'examen, vous pouvez uniquement télécharger un rapport récapitulatif si vous disposez d'une version d'essai gratuite.

Procédure

  1. Ignorez cette étape si vous utilisez déjà AppScan on Cloud pour static analysis :
    1. Si vous n'avez pas d'abonnement à AppScan on Cloud, accédez à https://cloud.appscan.com/AsoCUI/serviceui/home et connectez-vous à l'aide de votre ID HCL. Si vous ne possédez pas d'ID HCL, utilisez le lien qui vous permet d'en créer un. Inscrivez-vous ensuite pour obtenir une version d'essai gratuite ou un abonnement payant à l'aide des liens du service.
    2. HCL Cloud Marketplace uniquement : Dans le service AppScan on Cloud, créez une application (voir https://help.hcl-software.com/appscan/ASoC/ent_create_application.html) puis cliquez sur Création d'un examen.
    3. Dans l'écran Quel type d'application examinez-vous aujourd'hui ?, sélectionnez Bureau ou Web > Statique.
    4. Si vous n'avez pas encore téléchargé et configuré l'Static Analyzer Client Utility, faites-le dès maintenant. Voir https://help.hcl-software.com/appscan/ASoC/src_utility_install.html pour plus d'informations.
  2. Générez une évaluation (fichier .ozasmt) dans le produit AppScan® Source ou avec l'outil de votre choix. Les versions 9.0 et ultérieures sont prises en charge.
  3. Utilisez l'interface de ligne de commande (CLI) Client Utility pour générer un fichier Intermediate Representation (IRX ou .irx) pour l'évaluation (fichier.ozasmt ) :
    1. Après avoir extrait l'Client Utility vers une unité locale, ajoutez l'emplacement de son répertoire \bin dans votre variable d'environnement PATH. Si vous n'effectuez pas cette opération, toutes les commandes d'interface de ligne de commande de l'Client Utility auront besoin d'être qualifiées à l'aide du répertoire \bin à chaque fois que la commande sera émise. Voir https://help.hcl-software.com/appscan/ASoC/src_irx_gen_cli.html pour plus d'informations.
    2. Emettez la commande suivante sur Windows :
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      ou la commande suivante sur Linux :

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

      Les arguments de commande sont facultatifs :

      • -d : Spécifiez -d <save_path>, où <save_path> correspond au répertoire dans lequel vous souhaitez enregistrer le fichier IRX.
      • -f : Spécifiez -f <assessment_file>, où <assessment_file> correspond au fichier .ozasmt que vous souhaitez conditionner pour examen. Si le fichier <assessment_file> ne se trouve pas dans le répertoire actuel, utilisez cette option pour spécifier le chemin et le nom du fichier d'évaluation.
        Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
        • Vous lancez la commande depuis un répertoire qui contient plusieurs fichiers d'évaluation. Si le répertoire contient un seul fichier d'évaluation, ce fichier est conditionné, à condition que l'option -f ne soit pas utilisée.
        • Vous lancez la commande depuis un répertoire qui ne contient pas de fichiers d’évaluation. Dans ce cas, vous devez utiliser l'option -f pour spécifier le chemin d'accès et le nom du fichier d'évaluation à conditionner.
      • -n : Spécifiez -n <file_name>, où <file_name> correspond au nom du fichier IRX. Vous pouvez indiquer le nom du fichier avec ou sans l'extension de fichier .irx. Si vous le spécifiez sans l'extension, celle-ci est ajoutée automatiquement lorsque le fichier est généré.

      Vous trouverez des informations supplémentaires sur la commande package, notamment des exemples d'utilisation sous Commandes de configuration (Windows) ou Commandes de configuration (Linux).

  4. Utilisez la commande (CLI) queue_analysis pour télécharger le fichier IRX :
    1. Connectez-vous au service à partir de l'interface de ligne de commande (CLI). Vous trouverez des informations détaillées sur l'authentification auprès du service dans l'interface CLI sous Commandes d'authentification (Windows) ou Commandes d'authentification (Linux).
      • HCL Cloud Marketplace :

        Emettez la commande suivante sur Windows :

        appscan scx_login -P <password> -u <user_name> -persist

        ou la commande suivante sur Linux :

        appscan.sh scx_login -P <password> -u <user_name> -persist

        Les arguments suivants sont obligatoires :

        • -P : Spécifiez -P <password>, où <password> correspond au mot de passe que vous avez indiqué lorsque vous vous êtes inscrit au service AppScan on Cloud.
        • -u : Spécifiez -u <user_name>, où <user_name> correspond à l'adresse e-mail que vous avez indiquée lorsque vous vous êtes inscrit au service AppScan on Cloud.

        L'argument suivant est facultatif :

        • -persist : essayez automatiquement de vous authentifier à nouveau auprès du service lorsque le fichier jeton de connexion arrive à expiration.
    2. Téléchargez le fichier IRX à l'aide de la commande queue_analysis :
      • Emettez la commande suivante sur Windows :
        appscan queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        ou la commande suivante sur Linux :

        appscan.sh queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        Les arguments suivants sont obligatoires :

        • -f : Spécifiez -f <irx_file>, où <irx_file> correspond au fichier irx que vous souhaitez envoyer pour examen. Si le fichier IRX ne se trouve pas dans le répertoire actuel, utilisez cette option pour spécifier le chemin et le nom du fichier IRX.
          Remarque : Cette option est uniquement requise si l'une des deux affirmations suivantes est vraie :
          • Vous exécutez la commande à partir d'un répertoire qui contient plusieurs fichiers IRX. Si le répertoire ne contient qu'un seul fichier IRX, ce fichier est envoyé, à condition que l'option -f ne soit pas utilisée.
          • Vous exécutez la commande à partir d'un répertoire qui ne contient pas de fichiers IRX. Dans ce cas, vous devez utiliser l'option -f pour spécifier le chemin d'accès et le nom du fichier IRX à envoyer.
        • -n : Indiquez -n <scan_name>, où <scan_name> est le nom de l'examen qui a lieu sur le cloud.
        • -a (HCL Cloud Marketplace uniquement) : Si vous êtes connecté au service AppScan on Cloud sur HCL Cloud Marketplace, les fichiers IRX que vous envoyez vers le cloud doivent être associés à une application AppScan on Cloud existante. Avec cette option, spécifiez -a <app_id>, où <app_id> correspond à l'ID de l'application à laquelle les fichiers doivent être associés. Pour déterminer l'ID, utilisez la commande list_apps.
      • Lorsque la commande queue_analysis se termine, un ID s'affiche pour le travail d'analyse. Si vous souhaitez recevoir le rapport d'analyse d'AppScan on Cloud via l'interface CLI, vous devrez inclure cet ID de travail dans la commande get_result et noter l'ID. Si vous utilisez l'interface de ligne de commande pour recevoir le rapport d'analyse, vous avez la possibilité de recevoir un fichier d'archive (.zip) comprenant un fichier .ozasmt pour pouvoir ouvrir le rapport d'analyse dans AppScan® Source. Si vous souhaitez uniquement obtenir un rapport HTML, vous pouvez utiliser l'interface de ligne de commande ou le client web d'AppScan on Cloud pour télécharger le rapport.

      Vous trouverez des détails concernant l'utilisation de la commande queue_analysis sous Commandes d'analyse (Windows) ou Commandes d'analyse (Linux).

  5. Lorsque l'analyse est terminée, vous recevez un e-mail si vous avez chargé le fichier IRX à l'aide de l'interface de ligne de commande (CLI) ou si vous avez coché la case M'envoyer un e-mail lorsque l'examen est terminé dans le client web d'AppScan on Cloud.
  6. Sélectionnez une méthode d'extraction du rapport d'analyse. Vous pouvez utiliser la commande (CLI) get_result ou utiliser le client web AppScan on Cloud. Si vous utilisez l'interface de ligne de commande pour recevoir le rapport d'analyse, vous avez la possibilité de recevoir un fichier d'archive (.zip) comprenant un fichier .ozasmt pour pouvoir ouvrir le rapport d'analyse dans AppScan® Source. Si vous souhaitez uniquement obtenir un rapport HTML, vous pouvez utiliser l'interface de ligne de commande ou le client web d'AppScan on Cloud pour télécharger le rapport.
  7. Effectuez cette étape si vous souhaitez utiliser la commande (CLI) get_result pour extraire le rapport d'analyse :
    1. Vérifiez que vous êtes connecté au service à partir de l'interface de ligne de commande.
    2. Emettez la commande suivante sur Windows :
      appscan get_result -d <file_path> -i <job_id> -t <type>

      ou la commande suivante sur Linux :

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      L'argument suivant est requis :

      • -i : Spécifiez -i <job_id>, où <job_id> correspond à l'ID du travail d'analyse.
      Remarque : Si vous n'avez pas noté l'ID lors de l'exécution de la commande queue_analysis, vous pouvez utiliser la commande appscan list or appscan.sh list pour afficher une liste de tous les travaux d'analyse. Voir Commandes d'analyse (Windows) ou Commandes d'analyse (Linux) pour de plus amples informations.

      Les arguments suivants sont facultatifs :

      • -d : Spécifiez -d <file_path>, où <file_path> correspond au chemin d'accès complet et/ou au nom du fichier de destination. Si aucun nom de fichier n'est indiqué, il se base alors sur le nom du travail d'examen. Si aucun chemin d'accès n'est indiqué, le fichier est alors enregistré dans le répertoire actuel. Si cette option n'est pas incluse, le fichier est alors enregistré dans le répertoire actuel avec un nom de fichier basé sur le nom du travail d'examen.
      • -t : Spécifiez -t <type>, où <type> correspond à html ou zip. Les résultats sont enregistrés sous forme de fichier HTML ou de fichier .zip contenant les résultats au format HTML. Si cette option n'est pas incluse, les résultats sont sauvegardés dans un fichier HTML.

        Si les résultats de l'examen concernent un fichier IRX généré par la commande package, spécifiez -t zip pour enregistrer les résultats contenant un nouveau fichier .ozasmt qui peut être chargé dans votre produit AppScan® Source version 9.0 ou ultérieure.

      Vous trouverez des détails concernant la commande get_result sous Commandes de résultats (Windows) ou Commandes de résultats (Linux).

  8. Effectuez cette étape si vous souhaitez utiliser le client web pour extraire le rapport d'analyse : Si vous souhaitez uniquement voir un rapport HTML, vous pouvez utiliser le client web AppScan on Cloud pour télécharger le rapport.

    Lorsque vous vous connectez au service, vous devriez voir automatiquement une liste de vos examens (si vous avez navigué vers une autre section du service, cliquez sur l'icône X situé en haut à droite de l'écran pour retourner à la liste des examens). Dans la liste des examens, localisez l'examen et sélectionnez l'icône Télécharger, puis sélectionnez le format XML ou HTML.

    Pour en savoir plus sur les résultats d'examens d'AppScan on Cloud dans HCL Cloud Marketplace, consultez https://help.hcl-software.com/appscan/ASoC/appseccloud_results_dashboard_cm.html.