Welcome
スキャン
このセクションでは、HCL® AppScan® Source におけるソース・コードのスキャン方法および評価の管理方法について説明します。
ワークスペース、プロジェクト、およびファイルのスキャン
Eclipse のワークスペース、プロジェクト、ファイルをスキャンすることができます。これには、Java™ (Android を含む) および JavaServer Pages (JSP) プロジェクトのスキャンが含まれます。
統合のスキャン
HCL® AppScan® Source では、コンテナー化テクノロジーとの統合、およびコンテナーを使用したスキャンの自動化を行うことができます。
Podman イメージを使用したコンテナーの作成
手動による介入のないスキャン

ようこそ
HCL® AppScan® Source の文書へようこそ。
新機能
AppScan® Source に追加された新機能について調べ、このリリースで廃止された機能をメモします。
インストール
HCL® AppScan® Source のインストール、アップグレード、およびアクティブ化の方法について説明します。
構成
HCL® AppScan® Source でアプリケーション、フォルダー、プロジェクトを構成し、属性とプロパティーを設定する方法について説明します。
の管理
HCL® AppScan® Source での、ユーザー・アカウントと許可の管理、ユーザー・アクティビティーの監査、および統合の管理の方法について説明します。
スキャン
このセクションでは、HCL® AppScan® Source におけるソース・コードのスキャン方法および評価の管理方法について説明します。
- ワークスペース、プロジェクト、およびファイルのスキャン
  Eclipse のワークスペース、プロジェクト、ファイルをスキャンすることができます。これには、Java™ (Android を含む) および JavaServer Pages (JSP) プロジェクトのスキャンが含まれます。
  - スキャンに関する考慮事項
    このトピックでは、スキャンに影響を与える可能性のある制限事項と考慮事項について説明します。
  - スキャン構成
    スキャン構成は、スキャンの起動時に使用され、多くの場合、良好なスキャン結果をもたらします。AppScan® Source には、スキャン構成が標準装備されています。これらのスキャン構成には、server mode または local mode でアクセスできます。さらに、カスタム・スキャン構成を AppScan Source for Analysis で作成し、AppScan Enterprise Server で共有し、server mode の AppScan Source for Development からアクセスすることができます。
  - 統合のスキャン
    HCL® AppScan® Source では、コンテナー化テクノロジーとの統合、およびコンテナーを使用したスキャンの自動化を行うことができます。
    - Podman イメージを使用したコンテナーの作成
    - Jenkins とコンテナーを使用したスキャン自動化の構成
      HCL Harbor および HCL® AppScan® Source (MHS) から入手できる、My HCL ソフトウェア・ポータルコマンド行インターフェース (CLI) コンテナーを使用すると、AppScan Source のフル・インスタンスをインストールしなくても、Jenkins による静的分析スキャンを自動化できます。
    - Azure とコンテナーを使用したスキャン自動化の構成
      HCL Harbor および HCL® AppScan® Source (MHS) から入手できる、My HCL ソフトウェア・ポータルコマンド行インターフェース (CLI) コンテナーを使用すると、AppScan Source のフル・インスタンスをインストールしなくても、Azure による静的分析スキャンを自動化できます。
    - GitHub Action とコンテナーを使用したスキャン自動化の構成
      HCL Harbor および HCL® AppScan® Source から入手できる、My HCL ソフトウェア・ポータルコマンド行インターフェース (CLI) コンテナーを使用すると、AppScan Source のフル・インスタンスをインストールしなくても、GitHub による静的分析スキャンを自動化できます。
    - GitLab CI/CD およびコンテナーを使用したスキャン自動化の構成
      HCL Harbor および HCL® AppScan® Source から入手できる、My HCL ソフトウェア・ポータルコマンド行インターフェース (CLI) コンテナーを使用すると、AppScan Source のフル・インスタンスをインストールしなくても、GitLab による静的分析スキャンを自動化できます。
  - シークレットのスキャン
    scan.ozsettings ファイルからすべてのアプリケーション、プロジェクト、およびフォルダーのシークレット・スキャナーをグローバルに有効にします。
  - スキャンからのファイルの除外
  - スキャンからのフォルダーの除外
  - スキャンのキャンセルまたは停止
    進行中のスキャンはキャンセルできますが、スキャンをキャンセルすると、そのスキャンのデータはすべて失われます。あるいは、スキャンを停止してスキャンを一時停止し、それまでに検出された結果を使用して評価を生成できます。
  - Linux™ での AppScan® Source for Analysis と AppScan® Source for Development (Eclipse プラグイン) コンポーネントの前提条件
    Linux™ の場合、Eclipse は、ブラウザー・ベースのコンテンツをレンダリングするためにサード・パーティー・コンポーネントをインストールする必要があります。このコンポーネントがないと、AppScan® Source for Analysis および AppScan Source for Development Eclipse プラグインは、ログイン後にハングしたり、製品使用中に障害が発生したりするなどの症状を示す可能性があります。
- 「マイ評価」の管理
  「マイ評価」ビューには、評価 (現在開かれている評価と、自分が保存した評価) のリストが表示されます。このビューでは、評価を開く、削除する、保存する、名前変更する、または比較する操作を実行できます。スキャンが完了するか、保存済みの評価を開くと、「マイ評価」ビューに評価が表示されます。「マイ評価」には、開いているか保存済みの評価の表が表示され、公開済みまたは変更済みの評価が識別されます。このビューから評価を削除すると (評価の保存や公開なしに)、その評価は完全に削除されます。
- 評価の公開
  AppScan® Source には、2 つの公開オプションが用意されています。評価を保管および共有するためには、評価を AppScan Source Databaseに公開することができます。また、ご使用の AppScan Enterprise Server が Enterprise Console オプションを指定してインストールされている場合は、Enterprise Console に評価を公開することができます。AppScan Enterprise Console は、レポート機能、問題管理、トレンド分析、ダッシュボードなど、評価に関する作業を行うためのさまざまなツールを備えています。
- 評価のオープンおよび保存
  AppScan® Source は、ソース・コードをスキャンして脆弱性を検出し、検出結果を生成します。検出結果とは、スキャンによって検出された脆弱性のことです。スキャンの結果は、評価と呼ばれます。保存済みの評価は、AppScan Source for Development または AppScan Source for Analysis から開くことができます。スキャンの終了後、この評価をファイルに保存できます。その後、この評価をいつでも開くことができます。評価は filename.ozasmt として保存されます。
- 「マイ評価」からの評価の削除
  「マイ評価」ビューから評価を削除しても、ローカル・ファイル・システムからは削除されません。ビューから評価を削除した場合、その評価を「評価を開く」アクションで再度追加することができます。
- 変数の定義
  評価またはバンドルを保存するとき、または評価を公開するときに、絶対パスを置換する変数を作成するように AppScan® Source for Analysis から提示されることがあります (変数がない場合、AppScan Source for Analysis は、ソース・ファイルなどの項目を参照するための絶対パスを評価ファイルに書き込みます)。絶対パスの変数を構成すると、複数のコンピューターで評価が容易に共有できるようになります。評価を共有する場合は、変数を使用することをお勧めします。
トリアージおよび分析
類似した検出結果をグループ化することにより、セキュリティー・アナリストや IT 監査員はソース・コードの問題をセグメント化し、トリアージできます。このセクションでは、AppScan® Source 評価のトリアージを行い、結果を分析する方法について説明します。
レポート作成
セキュリティー・アナリストおよびリスク・マネージャーは、選択された検出結果のレポート、またはソフトウェア・セキュリティーのベスト・プラクティスおよび法的要件へのコンプライアンスを測定するための一連の監査レポートにアクセスできます。このセクションでは、集約された検出結果データのレポートを作成する方法について説明します。
プロダクト機能の拡張
特定の開発要件を満たすために製品を拡張する方法について説明します。
参照
HCL® AppScan® Source の参照情報 (ユーティリティー、プラグイン、および API の使用を含む) を確認します。
トラブルシューティングおよびサポート
HCL® AppScan® Source を使用している間の問題のトラブルシューティングに役立つセルフヘルプ情報、リソース、およびツール。

手動による介入のないスキャン

デフォルトでは、コンテナーが作成されると AppScan® Source CLI シェルが開始されます。サポートされるすべての AppScan® Source CLI コマンドは、コンテナー内で実行できます。また、CLI では、スクリプト・ファイルへのコマンド・セットの定義、およびこれらのコマンドをすべて順次実行するために script コマンドを使用するファイルの指定もサポートしています。

script コマンドを活用することで、手動による介入を行わずにスキャンを実行できます。

例:

スクリプトを作成するには、次のようにします。

> vi /host_machine_workspace/cli.script
> login …
> oa /container_workspace/simpleIOT/SimpleIOT.paf
> scan
> report "Findings by Fix Group" pdf-annotated /Apps/owasp_report.pdf
        -includeSrcBefore:5 -includeSrcAfter:5 -includeTrace:suspect
      -includeHowToFix
> logout

以下のスクリプトを指定して、コンテナーでスキャンを実行します。

podman run -it --rm --env-file ./env.list --volume
        /host_machine_workspace/:/container_workspace/
        hcl/appscan/source/cli:10.1.0 script .“/container_workspace/cli.script

注: バージョン 10.3.0 で、AppScan® Source は Podman を使用したコンテナー化をサポートしています。Docker は Red Hat Enterprise Linux 8 と 9 ではサポートされていないため、ホストで RHEL 8 または 9 が実行されている場合、Podman を使用してください。Podman は主要なすべての Docker コマンドをサポートしています。このトピックの例の Docker を Podman に置き換えて、Podman 環境でコンテナーを作成してスキャンします。