AppScan® 源代码 评估提交到云以进行分析

如果在 HCL Cloud Marketplace 订阅了 HCL AppScan on Cloud,可在此处提交 AppScan® 源代码 评估以进行分析。支持 AppScan® 源代码 V9.0 或更高版本的评估,可提交的扫描数取决于 AppScan on Cloud 订阅。

关于此任务

当您使用 AppScan on Cloud 服务的 静态分析 功能时,可生成使用 Intelligent Finding Analytics (IFA) 的安全分析报告。IFA 是一种功能强大的机器学习技术,通过过滤出误报结果并对可由一个代码点中的修订修复的结果分组来执行大多数分类工作。要了解关于 IFFA 的更多信息,请参阅此文章

如果使用 AppScan® 源代码 V9.0 或更高版本而且具有 AppScan on Cloud 订阅,则可通过将 AppScan® 源代码 评估上载到 AppScan on Cloud 来利用该技术。作为回报,您将接收到已通过该技术自动进行分类的新评估。该评估可以是 HTML 报告的形式,或者评估可在 AppScan® 源代码 产品中打开。

如果具有 AppScan on Cloud 预订,那么每月可能具有有限的扫描次数。请参阅https://help.hcl-software.com/appscan/ASoC/src_managing_assessments_cloud.html以获取关于扫描和并发扫描权利的更多信息。

注: 如果通过 AppScan on Cloud 的免费试用版本扫描 AppScan® 源代码 评估,则除了已通过 IFA 分类的 AppScan® 源代码 评估文件之外,可下载完整 HTML 报告。对于所有其他扫描类型,仅可在具有免费试用时下载摘要报告。

过程

  1. 如果已在使用 AppScan on Cloud for 静态分析,请跳过该步骤:
    1. 如果没有 AppScan on Cloud 订阅,请转至 https://cloud.appscan.com/AsoCUI/serviceui/home 并使用您的 HCL 标识登录。如果没有 HCL 标识,请使用链接来创建一个标识。然后,使用服务中提供的链接来注册免费使用版本或收费订阅。
    2. HCL Cloud Marketplace仅 :AppScan on Cloud 服务中,创建应用程序(请参阅https://help.hcl-software.com/appscan/ASoC/ent_create_application.html),然后单击创建扫描
    3. 您今天要扫描什么类型的应用程序?屏幕中,选择桌面Web > 静态
    4. 如果先前未下载和设置 Static Analyzer Client Utility,请现在进行这些操作。有关更多信息,请参阅 https://help.hcl-software.com/appscan/ASoC/src_utility_install.html
  2. AppScan® 源代码 产品或所选择的工具中生成评估(.ozasmt 文件)。支持 V9.0 或更高版本。
  3. 使用 Client Utility 命令行界面 (CLI) 可生成 中间表示IRX.irx) 文件来进行评估(.ozasmt 文件):
    1. Client Utility 解压缩到本地磁盘后,将 \bin 目录的位置添加到 PATH 环境变量。如果不执行操作,则每次发出命令时,都将使用 \bin 目录来限定所有 Client Utility CLI 命令。有关更多信息,请参阅 https://help.hcl-software.com/appscan/ASoC/src_irx_gen_cli.html
    2. 在 Windows 上发出以下命令:
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      或者在 Linux 上发出以下命令:

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

      命令参数是可选的:

      • -d:指定 -d <save_path>,其中 <save_path> 是用于保存 IRX 文件的目录。
      • -f:指定 -f <assessment_file>,其中 <assessment_file> 是您希望打包以进行扫描的 .ozasmt 文件。如果 <assessment_file> 文件不在当前目录中,请使用此选项指定评估文件路径和文件名。
        注: 仅当以下一个或两个语句都满足时,才需要该选项:
        • 您是从包含多个评估文件的目录发出的命令。如果该目录仅包含一个评估文件,则未使用 -f 选项时将对该文件打包。
        • 您是从不包含评估文件的目录发出的命令。在此情况下,必须使用 -f 选项来指定要打包的评估文件的路径和文件名。
      • -n:指定 -n <file_name>,其中 <file_name>IRX 文件名。您可以指定带有或不带有 .irx 文件扩展名的文件名。如果指定不带有扩展名的文件名,生成文件时将自动添加扩展名。

      关于 package 命令的其他信息(包括用法示例)可在 配置命令 (Windows) 配置命令 (Linux) 上找到。

  4. 使用 CLI queue_analysis 命令来上载 IRX 文件:
    1. 从 CLI 登录服务。有关在 CLI 中认证服务的详细信息可在认证命令 (Windows)认证命令 (Linux) 中找到。
      • HCL Cloud Marketplace

        在 Windows 上发出以下命令:

        appscan scx_login -P <password> -u <user_name> -persist

        或者在 Linux 上发出以下命令:

        appscan.sh scx_login -P <password> -u <user_name> -persist

        需要以下参数:

        • -P:指定 -P <password>,其中 <password> 是注册 AppScan on Cloud 服务时指定的密码。
        • -u:指定 -u <user_name>,其中 <user_name> 是注册 AppScan on Cloud 服务时指定的电子邮件地址。

        该参数是可选的:

        • -persist:在登录令牌文件过期后自动尝试重新向服务认证。
    2. 使用 queue_analysis 命令上载 IRX 文件:
      • 在 Windows 上发出以下命令:
        appscan queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        或者在 Linux 上发出以下命令:

        appscan.sh queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        需要以下参数:

        • -f:指定 -f <irx_file>,其中 <irx_file> 是您希望提交以进行扫描的 IRX 文件。如果 IRX 文件不在当前目录中,请使用此选项指定 IRX 文件路径和文件名。
          注: 仅当以下一个或两个语句都满足时,才需要该选项:
          • 您是从包含多个 IRX 文件的目录发出的命令。如果目录仅包含一个 IRX 文件,则在未使用 -f 选项的情况下将提交此文件。
          • 您是从不包含 IRX 文件的目录发出的命令。在此情况下,必须使用 -f 选项来指定要提交的IRX文件的路径和文件名。
        • -n:指定 -n <scan_name>,其中 <scan_name> 是云上将发生的扫描的名称。
        • -a (仅限 HCL Cloud Marketplace:如果您已连接至位于 HCL Cloud MarketplaceAppScan on Cloud 服务,则您提交到云的 IRX 文件必须与现有 AppScan on Cloud 应用程序关联。使用此选项,指定 -a <app_id>,其中 <app_id> 是要关联的应用程序的标识。要确定标识,请使用 list_apps 命令。
      • queue_analysis 命令完成时,将显示分析作业的标识。如果要使用 CLI 接收 AppScan on Cloud 分析报告,将需要在 get_result 命令中包含该作业标识,并应记下标识 如果使用 CLI 来接收分析报告,将可选择接收其中包含 ..ozasmt 文件的归档 (.zip) 文件,以便分析报告可在 AppScan® 源代码 中打开。如果只是希望看到 HTML 报告,可使用 CLI 或 AppScan on Cloud Web 客户机来下载报告。

      关于使用 queue_analysis 命令的报告可在分析命令 (Windows)分析命令 (Linux) 中找到。

  5. 分析完成后,如果使用 CLI 上载了 IRX 或者如果在 AppScan on Cloud Web 客户机中选中了扫描完成后向我发送电子邮件复选框,将收到电子邮件。
  6. 选择用于检索分析报告的方法。可使用 CLI get_result 命令,也可使用 AppScan on Cloud Web 客户机。 如果使用 CLI 来接收分析报告,将可选择接收其中包含 ..ozasmt 文件的归档 (.zip) 文件,以便分析报告可在 AppScan® 源代码 中打开。如果只是希望看到 HTML 报告,可使用 CLI 或 AppScan on Cloud Web 客户机来下载报告。
  7. 如果想要使用 CLI get_result 命令来检索分析报告,请完成此步骤:
    1. 确保您已从 CLI 登录到服务。
    2. 在 Windows 上发出以下命令:
      appscan get_result -d <file_path> -i <job_id> -t <type>

      或者在 Linux 上发出以下命令:

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      该参数是必需的:

      • -i:指定 -i <job_id>,其中 <job_id> 是分析作业的标识。
      注: 如果发出 queue_analysis 命令时没有记下标识,则可使用 appscan listappscan.sh list 命令来查看所有分析作业的列表。请参阅分析命令 (Windows)分析命令 (Linux) 以获取更多信息。

      以下参数是可选的:

      • -d:指定 -d <file_path>,其中 <file_path> 是目标文件的标准路径和/或目标文件的文件名。如果未指定文件名,则文件名将基于扫描作业名。如果未指定路径,则文件将保存到当前目录。如果未包含该选项,则文件将以基于扫描作业名的文件名保存到当前目录。
      • -t:指定 -t <type>, 其中 <type>htmlzip。结果将另存为 HTML 文件或包含 HTML 结果的 .zip 文件。如果未包含该选项,结果将另存为 HTML 文件。

        如果扫描结果是针对 package 命令所生成的 IRX 文件,则指定 -t zip 会保存包含新 .ozasmt 文件的结果,该文件可以装入到 AppScan® 源代码 V9.0 或更高产品版本中。

      关于使用 get_result 命令的报告可在结果命令 (Windows) 结果命令 (Linux) 中找到。

  8. 如果想要使用 web 客户机来检索分析报告,完成该步骤:如果只是对看到 HTML 报告感兴趣,可使用 AppScan on Cloud web 客户机来下载报告。

    登录服务之后,应自动看到扫描的列表(如果已导航至服务的另一个部分,单击右上角的 X 图标以返回到扫描的列表)。在扫描列表中,找到扫描并选择下载图标,然后选择 XML 或 HTML 格式。

    要了解关于 HCL Cloud Marketplace 上的扫描结果的 AppScan on Cloud 更多信息,请参阅 https://help.hcl-software.com/appscan/ASoC/appseccloud_results_dashboard_cm.html