Jenkins とコンテナーを使用したスキャン自動化の構成

HCL Harbor および HCL Software License Management Portal から入手できる、HCL® AppScan® Source コマンド行インターフェース (CLI) コンテナーを使用すると、AppScan® Source のフル・インスタンスをインストールしなくても、Jenkins による静的分析スキャンを自動化できます。

コンテナーを使用したスキャンの主な手順は次のとおりです。
  1. アプリケーションを準備します
  2. ランタイム環境を準備します
  3. コンテナー・イメージからスキャンを開始します

前提条件

開始する前に、環境が次の要件を満たしていることを確認してください。
  • Docker がインストールされた Linux エージェント/ホストを 1 つ以上含んだ Jenkins 環境。

    これが、CLI コンテナー を使用して静的分析スキャンを実行する対象となるシステムです。

  • AppScan® Source for Automation の有効なライセンスと関連するライセンス・サーバー情報。

  • AppScan® Source CLI コンテナー・イメージ

    HCL Harbor または HCL ソフトウェア・ライセンス管理ポータル から AppScan® Source CLI コンテナー・イメージをダウンロードします。有効なライセンスがあれば、HCL ID を使用して、これらの場所にアクセスできます。

  • AppScan® Source CLI スクリプト

    Jenkins パイプラインを使用してコンテナーでスキャンするには、スクリプトが必要です。

  • コンテナーから Jenkins ホスト/エージェントのコンテンツへのアクセス:

    スキャン対象のアプリケーションは、スキャンを実行する Jenkins ホストからアクセスできる必要があります。

    注: ボリューム・マッピング (コンテナー・ホスト上のパスからコンテナー内のパスへのマッピング) が、この目的でスキャンのインスタンス化中に使用されます。

スキャン対象のアプリケーションの準備

次のいずれかを使用して、アプリケーションをスキャンする準備をします。
  • paf/ppf ファイル
  • フォルダー・スキャン
paf/ppf ファイルを使用したスキャン対象のアプリケーションの準備
  1. HCL® AppScan® Source for Analysis がインストールされた Linux システム上の AppScan® Source クライアントを使用して、paf/ppf ファイルを生成します。

    paf および ppf ファイルがスキャン対象のアプリケーションのルートにあることを確認します。

  2. アプリケーション・ファイルと paf/ppf ファイルが、Jenkins ホスト/エージェントからアクセス可能であることを確認します。

    例えば、アプリケーションが Jenkins ホスト/エージェントのルート・パス、/usr/user1/SampleApp でアクセス可能な場合、paf/ppf ファイルは /usr/user1/SampleApp/SampleApp.paf および /usr/user1/SampleApp/SampleApp.ppf にあります。

  3. コンテナーから見えるボリュームの名前を特定します。
    例えば、ホスト上の /usr/user1 をコンテナー内の cvol にマッピングします。
    注: ボリューム・マッピングは、コンテナーで CLI を実行するときに指定されます。
  4. CLI スクリプトを作成します。例えば、/usr/user1/SampleAppSampleApp.script です。
    この例のスクリプトは、cvol パスを使用して、アプリケーション・コンテンツにアクセスするようにコンテナーに伝えます。リストされているコマンドは、AppScan® Source CLI (手動介入なしのスキャン) で使用されるコマンドです。
    login …
    oa /cvol/SampleApp/SampleAll.ppf
    scan
    …
    logout
フォルダー・スキャン用のアプリケーションの準備:
  1. アプリケーション・ファイルは Jenkins ホスト/エージェントからアクセス可能であることを確認します。

    例えば、アプリケーションは Jenkins ホスト/エージェント上のパス /usr/user1/SampleApp でアクセスできます。

  2. コンテナーから見えるボリュームの名前を特定します。
    例えば、ホスト上の /usr/user1 をコンテナー内の cvol にマッピングします。
    注: ボリューム・マッピングは、コンテナーで CLI を実行するときに指定されます。
  3. CLI スクリプトを作成します。例えば、/usr/user1/SampleAppSampleApp.script です。
    login …
    oa /cvol/SampleApp/SampleAll.ppf
    scan
    …
    logout

Jenkins ホスト/エージェントでのランタイム環境の準備

Jenkins ホスト/エージェントでランタイム環境を準備するには:
  1. HCL FNO から Jenkins ホストに AppScan® Source CLI コンテナーをダウンロードするか、HCL Harbor から直接アクセスします。

    HCL FNO からダウンロードした場合は、docker load コマンドを使用して CLI コンテナー・イメージをロードします。

  2. スキャン中に CLI コンテナーで使用できるようにする必要がある環境変数のリストを含むファイル (env.list など) を作成します。必須情報の一部には以下が含まれます。
    AS_INSTALL_MODE=standalone
    AS_LICENSE_TYPE=CLS
    AS_LICENSE_SERVER_ID=<specify the license server ID>
    パラメーターの完全なリストは、こちらから入手可能です。

コンテナー・イメージを使用した静的分析スキャンの開始

以下の 2 つの方法のいずれかを使用してスキャンを開始します。

HCL Harbor のコンテナー・イメージを使用したスキャンの開始

Linux シェル・コマンドまたは Docker Linux プラグインを使用してスキャンを実行します。
  • Linux
    次のシェル・コマンドを Jenkins パイプラインに組み込んで SampleApp をスキャンします。Jenkins ホスト/エージェント上の /usr/user1 が、コンテナー内の cvol にマッピングされていることに注意してください。CLI コンテナーの目的のバージョンに基づいて、バージョン文字列を調整します。
    sh "docker run --rm --volume /usr/user1:/cvol --env-file /cvol/SampleApp/ env.list hclcr.io/appscan/appscan-src-cli:10.1.0 script /cvol/SampleApp/SampleApp.script
  • Docker Jenkins プラグイン
    次の Docker Jenkins プラグイン API を Jenkins パイプラインに組み込んで SampleApp をスキャンします。Jenkins ホスト/エージェント上の /usr/user1 が、コンテナー内の cvol にマッピングされていることに注意してください。CLI コンテナーの目的のバージョンに基づいて、バージョン文字列を調整します。
    docker.image('hclcr.io/appscan/appscan-src-cli:10.1.0').run('--name container-SampleApp --rm –-volume /usr/user1:/cvol --env-file /cvol/SampleApp/env.list script /cvol/SampleApp/SampleApp.script')
    
    sh "docker logs --follow container-SampleApp"

HCL ソフトウェア・ライセンス管理ポータル のコンテナー・イメージを使用したスキャンの開始

AppScan® Source CLI コンテナー・イメージは、アーカイブ形式 (tar.gz) で HCL ソフトウェア・ライセンス管理ポータル で使用できます。スキャンに使用する前に、コンテナー・イメージをロードする必要があります。
  1. Jenkins ホスト/エージェントにコンテナー・イメージをダウンロードします。例えば、/appscansrc/appscan-src-cli-10.1.0.tar.gz です。

    コンテナー・イメージは使用前にロードする必要があります

  2. Linux シェル・コマンドまたは Docker Linux プラグインを使用してスキャンを実行します。
    • Linux
      次のシェル・コマンドを Jenkins パイプラインに組み込んで SampleApp をスキャンします。Jenkins ホスト/エージェント上の /usr/user1 が、コンテナー内の cvol にマッピングされていることに注意してください。CLI コンテナーの目的のバージョンに基づいて、バージョン文字列を調整します。
      docker load -i /appscansrc/appscan-src-cli-10.1.0.tar.gz
      
      sh "docker run --rm --env-file /cvol/SampleApp/env.list --volume /usr/user1:/cvol appscansrc/appscan-src-cli:10.1.0 script /cvol/SampleApp/cli.script"
    • Docker Jenkins プラグイン
      次の Docker Jenkins プラグイン API を Jenkins パイプラインに組み込んで SampleApp をスキャンします。Jenkins ホスト/エージェント上の /usr/user1 が、コンテナー内の cvol にマッピングされていることに注意してください。CLI コンテナーの目的のバージョンに基づいて、バージョン文字列を調整します。
      docker.image(‘appscan-src-cli:10.1.0').run('--name container-SampleApp --rm –-volume /usr/user1:/cvol --env-file /cvol/SampleApp/env.list script /cvol/SampleApp/SampleApp.script')
      
      sh "docker logs --follow container-SampleApp"