分析のためのクラウドへの AppScan® Source 評価の送信

HCL Cloud MarketplaceHCL AppScan on Cloud のサブスクリプションを所有している場合は、分析のために AppScan® Source 評価結果をそこに送信できます。AppScan® Source バージョン 9.0 以上からの評価がサポートされます。送信できるスキャンの数は、AppScan on Cloud サブスクリプションによって異なります。

このタスクについて

AppScan on Cloud サービスのstatic analysis 機能を使用する場合、Intelligent Finding Analytics (IFA) を使用するセキュリティー分析レポートを生成できます。IFA は、誤検出をフィルタリングで除外し、特定のコード・ポイントで修正できる検出結果をグループ化するという方法でトリアージ作業の大部分を自動的に処理することを特徴とした、強力な機械学習テクノロジーです。IFA について詳しくは、この記事を参照してください。

AppScan® Source バージョン 9.0 以上を使用しており、AppScan on Cloud サブスクリプションがある場合は、AppScan® Source 評価を AppScan on Cloud にアップロードすることで、このテクノロジーを活用できます。評価のアップロードに対して、このテクノロジーよって自動的にトリアージされた新しい評価を受け取ります。この評価は、HTML レポートの形式、またはご使用の AppScan® Source 製品で開くことができる評価の形式で受け取ることができます。

AppScan on Cloud サブスクリプションがある場合、月ごとのスキャン数が制限される可能性があります。スキャンおよび同時スキャンのライセンスについて詳しくは、https://help.hcl-software.com/appscan/ASoC/src_managing_assessments_cloud.html を参照してください。

注: 無料試用版の AppScan on Cloud を使用して AppScan® Source 評価をスキャンしている場合は、IFA によってトリアージされた AppScan® Source 評価ファイルに加えて、フル HTML レポートをダウンロードすることができます。その他のすべてのスキャン・タイプについては、無料試用版を使用している場合は、要約レポートのみをダウンロードすることができます。

手順

  1. 既に static analysisAppScan on Cloud を使用している場合は、この手順をスキップしてください。
    1. AppScan on Cloud サブスクリプションがない場合は、https://cloud.appscan.com/AsoCUI/serviceui/home に移動し、HCL ID でログインします。HCL ID がない場合は、リンクを使用して作成してください。その後、無料試用版に登録するか、サービスにあるリンクを使用して有料のサブスクリプションを契約します。
    2. HCL Cloud Marketplace のみ: AppScan on Cloud サービスで、アプリを作成し (「https://help.hcl-software.com/appscan/ASoC/ent_create_application.html」を参照)、「スキャンの作成」をクリックします。
    3. 「今日はどのタイプのアプリをスキャンしますか?」画面で、「デスクトップ」または「Web」 > 「Static」を選択します。
    4. これまでに Static Analyzer Client Utility をダウンロードしてセットアップしていない場合は、この時点でそれを実行します。詳しくは、「https://help.hcl-software.com/appscan/ASoC/src_utility_install.html」を参照してください。
  2. AppScan® Source 製品または任意のツールで評価 (.ozasmt ファイル) を生成します。バージョン 9.0 以上がサポートされています。
  3. Client Utility のコマンド行インターフェース (CLI) を使用して、評価の Intermediate Representation (IRX または .irx) ファイルを生成します (評価ファイルは .ozasmt ファイルです)。
    1. Client Utilityをローカル・ドライブに抽出した後で、その \bin ディレクトリーの場所を PATH 環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、\bin ディレクトリーを使用してすべての Client Utility CLI コマンドを修飾しなければならなくなります。詳しくは、「https://help.hcl-software.com/appscan/ASoC/src_irx_gen_cli.html」を参照してください。
    2. Windows では、次のコマンドを発行します。
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      Linux では、次のコマンドを発行します。

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

      コマンド引数はオプションです。

      • -d: -d <save_path> と指定します。<save_path> には IRX ファイルの保存先ディレクトリーが入ります。
      • -f: -f <assessment_file> と指定します。<assessment_file> には、スキャン用にパッケージ化する .ozasmt ファイルが入ります。現行ディレクトリーに <assessment_file> ファイルがない場合は、このオプションを使用して評価ファイルのパスとファイル名を指定します。
        注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
        • コマンドを発行するディレクトリーに複数のアセスメント・ファイルが含まれている。ディレクトリーに含まれている評価ファイルが 1 つのみであれば、-f オプションが使用されていない場合は、そのファイルがパッケージされます。
        • コマンドを発行するディレクトリーにアセスメント・ファイルが 1 つも含まれていない。この場合は、-f オプションを使用して、パッケージする評価ファイルのパスおよびファイル名を指定する必要があります。
      • -n: -n <file_name> と指定します。<file_name> には IRX ファイルの名前が入ります。ファイル名を指定する際に、ファイル拡張子 .irx は付けても付けなくてもかまいません。ファイル拡張子なしで指定すると、ファイル生成時に自動的に拡張子が付けられます。

      package コマンドに関する追加情報 (使用例を含む) は、構成コマンド (Windows) または構成コマンド (Linux) を参照してください。

  4. CLI queue_analysis コマンドを使用し、IRX ファイルをアップロードします。
    1. CLI からサービスにログインします。CLI でのサービスに対する認証について詳しくは、認証コマンド (Windows) または認証コマンド (Linux) を参照してください。
      • HCL Cloud Marketplace:

        Windows では、次のコマンドを発行します。

        appscan scx_login -P <password> -u <user_name> -persist

        Linux では、次のコマンドを発行します。

        appscan.sh scx_login -P <password> -u <user_name> -persist

        これらの引数は必須です。

        • -P: -P <password> と指定します。<password> には、AppScan on Cloud サービスへの登録時に指定したパスワードが入ります。
        • -u: -u <user_name> と指定します。<user_name> には、AppScan on Cloud サービスへの登録時に指定した E メール・アドレスが入ります。

        この引数はオプションです。

        • -persist: ログイン・トークン・ファイルの有効期限が切れたときに、自動的にサービスへの再認証を試みます。
    2. queue_analysis コマンドを使用して、IRX ファイルをアップロードします。
      • Windows では、次のコマンドを発行します。
        appscan queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        Linux では、次のコマンドを発行します。

        appscan.sh queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        これらの引数は必須です。

        • -f: -f <irx_file> と指定します。<irx_file> にはスキャン用に送信する IRX ファイルが入ります。IRX ファイルが現行ディレクトリーにない場合は、このオプションを使用して IRX ファイルのパスおよびファイル名を指定します。
          注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
          • 複数の IRX ファイルが含まれているディレクトリーからコマンドを発行している。ディレクトリーに含まれている IRX ファイルが 1 つのみであれば、-f オプションが使用されていない場合は、そのファイルが送信されます。
          • IRX ファイルが 含まれていないディレクトリーからコマンドを発行している。この場合は、-f オプションを使用して、送信する IRX ファイルのパスとファイル名を指定する必要があります。
        • -n: -n <scan_name> を指定します。<scan_name> には、クラウドで行われるスキャンの名前が入ります。
        • -a (HCL Cloud Marketplace のみ): HCL Cloud MarketplaceAppScan on Cloud サービスに接続している場合は、クラウドに送信する IRX ファイルを既存の AppScan on Cloud アプリケーションに関連付ける必要があります。このオプションを使用する場合は、-a <app_id> と指定します。<app_id> には、関連付けるアプリケーションの ID が入ります。ID を確認するには、list_apps コマンドを使用します。
      • queue_analysis コマンドが完了すると、分析ジョブの ID が表示されます。CLI を使用して AppScan on Cloud 分析レポートを受け取りたい場合は、このジョブ ID を get_result コマンドに含める必要があります。ID をメモしてくださいCLI を使用して分析レポートを受け取る場合は、AppScan® Source で分析レポートを開くことができるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートのみを表示する場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードできます。

      queue_analysis コマンドの使用について、詳しくは分析コマンド (Windows) または分析コマンド (Linux) を参照してください。

  5. 分析が完了すると、CLI を使用して IRX をアップロードした場合、または AppScan on Cloud Web クライアントで「スキャン完了時に E メールを受け取る」チェック・ボックスを選択した場合は、E メールを受信します。
  6. 分析レポートを取得する方法を選択します。CLI get_result コマンドを使用できます。または、AppScan on Cloud Web クライアントを使用できます。CLI を使用して分析レポートを受け取る場合は、AppScan® Source で分析レポートを開くことができるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートのみを表示する場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードできます。
  7. CLI get_result コマンドを使用して分析レポートを取得する場合は、次の手順を実行します。
    1. CLI からサービスにログインしていることを確認します。
    2. Windows では、次のコマンドを発行します。
      appscan get_result -d <file_path> -i <job_id> -t <type>

      Linux では、次のコマンドを発行します。

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      次の引数は必須です。

      • -i: -i <job_id> と指定します。<job_id> には分析ジョブの ID が入ります。
      注: queue_analysis コマンドの発行時に ID をメモしなかった場合は、appscan list または appscan.sh list コマンドを使用すると、すべての分析ジョブのリストを表示できます。詳しくは、分析コマンド (Windows) または分析コマンド (Linux) を参照してください。

      以下の引数はオプションです。

      • -d: -d <file_path> と指定します。<file_path> には、宛先ファイルの完全修飾パスまたはファイル名が入ります。ファイル名が指定されていない場合、ファイル名はスキャン・ジョブ名に基づいた名前になります。パスを指定しない場合、ファイルは現在のディレクトリーに保存されます。このオプションが組み込まれていない場合、ファイルは、スキャン・ジョブ名に基づいたファイル名で現行ディレクトリーに保存されます。
      • -t: -t <type> と指定します。<type> には、html または zip が入ります。結果は HTML ファイルとして、または、HTML 結果を含む .zip ファイルとして保存されます。このオプションが組み込まれていない場合、結果は HTML ファイルとして保存されます。

        スキャン結果が package コマンドによって生成された IRX ファイル用のものである場合は、-t zip と指定すると、AppScan® Source バージョン 9.0 以降の製品にロードできる新規の .ozasmt ファイルを含む結果が保存されます。

      get_result コマンドの使用について詳しくは、結果コマンド (Windows) または結果コマンド (Linux) を参照してください。

  8. Web クライアントを使用して分析レポートを取得する場合は、次の手順を実行します。HTML レポートのみを表示する場合は、レポートのダウンロードに AppScan on Cloud Web クライアントを使用できます。

    サービスにログインすると、スキャンのリストが自動的に表示されます (サービスの別のセクションにナビゲートされた場合は、右上部にある X アイコンをクリックすると、スキャンのリストに戻ります)。スキャン・リストでスキャンを見つけ、「ダウンロード」アイコンを選択して、XML 形式または HTML 形式を選択します。

    HCL Cloud Marketplace での AppScan on Cloud スキャン結果について詳しくは、「https://help.hcl-software.com/appscan/ASoC/appseccloud_results_dashboard_cm.html」を参照してください。