提交 AppScan® Source 評量至 Cloud 進行分析

如果您在 HCL Cloud Marketplace 訂閱 HCL AppScan on Cloud,您可以提交 AppScan® Source 評量以進行分析。支援來自 AppScan® Source 9.0 版或更新版本的評量,您可以提交的掃描數目將視您的 AppScan on Cloud 訂閱而定。

執行這項作業的原因和時機

當您使用 AppScan on Cloud 服務的 static analysis 特性時,您可以產生使用「智慧型發現項目分析 (IFA)」的安全分析報告。IFA 是功能強大的機器學習技術,除其他功能外,還可透過過濾誤判,以及分組可在單一程式碼位置修正補救的發現項目,從而為您執行許多的分類工作。如果要進一步瞭解 IFA,請參閱這篇文章

如果您使用 AppScan® Source 9.0 版或更新版本,而且有 AppScan on Cloud 訂閱,您可以將 AppScan® Source 評量上傳到 AppScan on Cloud 來獲得這項技術的好處。然後,你會收到由此技術自動分類的新評量。這個評量可能是 HTML 報告或是可以在 AppScan® Source 產品中開啟的評量。

如果您有 AppScan on Cloud 訂閱,可能會有每月掃描數的限制。如需掃描和並行掃描授權的相關資訊,請參閱https://help.hcl-software.com/appscan/ASoC/src_managing_assessments_cloud.html

註: 如果您使用免費試用的 AppScan on Cloud 來掃描 AppScan® Source 評量,除了 IFA 所分類的 AppScan® Source 評量檔之外,您還可以下載完整的 HTML 報告。對於所有其他掃描類型,如果是免費試用,則只能下載摘要報告。

程序

  1. 如果已經在使用 AppScan on Cloud 進行 static analysis,請跳過此步驟:
    1. 如果您沒有 AppScan on Cloud 訂閱,請移至 https://cloud.appscan.com/AsoCUI/serviceui/home 並且使用您的 HCL ID 登入。如果沒有 HCL ID,請使用鏈結來建立 ID。然後使用位在服務的連結來註冊免費試用或付費訂閱。
    2. 只限 HCL Cloud MarketplaceAppScan on Cloud 服務中,建立應用程式(請參閱 https://help.hcl-software.com/appscan/ASoC/ent_create_application.html),然後按一下建立掃描
    3. 今天掃描的應用程式類型?畫面中,選取桌面Web > 靜態
    4. 如果您先前未下載和設定 Static Analyzer Client Utility,請現在進行。如需相關資訊,請參閱https://help.hcl-software.com/appscan/ASoC/src_utility_install.html
  2. AppScan® Source 產品或您選擇的工具中產生評量(.ozasmt 檔)。支援 9.0 版或更新版本。
  3. 使用 Client Utility 指令行介面 (CLI) 來產生評量(.ozasmt 檔)的 Intermediate RepresentationIRX.irx)檔:
    1. Client Utility 解壓縮到本端磁碟機之後,請將其 \bin 目錄的位置新增到 PATH 環境變數。否則,每次發出指令時,您都需要使用 \bin 目錄來限定所有的 Client Utility CLI 指令。如需相關資訊,請參閱https://help.hcl-software.com/appscan/ASoC/src_irx_gen_cli.html
    2. 在 Windows 上發出此指令:
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      或在 Linux 上,發出此指令:

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

      指令引數是選用的:

      • -d:指定 -d <save_path>,其中 <save_path> 是您想要儲存 IRX 檔案的目錄。
      • -f:指定 -f <assessment_file>,其中 <assessment_file> 是您要包裝以進行掃描的 .ozasmt 檔案。如果 <assessment_file> 檔案不在現行目錄中,請使用此選項來指定評量檔案路徑及檔名。
        註: 只有在符合下列其中一個或兩個陳述式時,才需要此選項:
        • 當您從包含多個評量檔的目錄中發出指令。如果目錄只包含一個評量檔,則未使用 -f 選項時,將會包裝該檔案。
        • 當您從未包含評量檔的目錄中發出指令。在此情況下,必須使用 -f 選項來指定要包裝的評量檔所在路徑及檔名。
      • -n:指定 -n <file_name>,其中 <file_name>IRX 檔名。指定檔名時不一定要有 .irx 副檔名。如果您指定的檔案名稱沒有副檔名,系統會在產生檔案時自動為您新增副檔名。

      如需 package 指令的相關資訊(包括使用範例),請參閱配置指令 (Windows)配置指令 (Linux)

  4. 使用 CLI queue_analysis 指令來上傳 IRX 檔案:
    1. 從 CLI 登入服務。如需在 CLI 中向服務鑑別的詳細資訊,請參閱鑑別指令 (Windows)鑑別指令 (Linux)
      • HCL Cloud Marketplace

        在 Windows 上發出此指令:

        appscan scx_login -P <password> -u <user_name> -persist

        或在 Linux 上,發出此指令:

        appscan.sh scx_login -P <password> -u <user_name> -persist

        這些引數是必要的:

        • -P:指定 -P <password>,其中 <password> 是您登錄 AppScan on Cloud 服務時指定的密碼。
        • -u:指定 -u <user_name>,其中 <user_name> 是您登錄 AppScan on Cloud 服務時指定的電子郵件位址。

        此引數是選用的:

        • -persist:在登入記號檔到期時,自動嘗試重新接受服務的鑑別。
    2. 使用 queue_analysis 指令來上傳 IRX 檔案:
      • 在 Windows 上發出此指令:
        appscan queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        或在 Linux 上,發出此指令:

        appscan.sh queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        這些引數是必要的:

        • -f:指定 -f <irx_file>,其中 <irx_file> 是您要提交以進行掃描的 IRX 檔案。如果 IRX 檔案不在現行目錄中,請使用此選項來指定 IRX 檔案路徑及檔名。
          註: 只有在符合下列其中一個或兩個陳述式時,才需要此選項:
          • 您是從包含多個 IRX 檔案的目錄中發出指令。如果目錄只包含一個 IRX 檔案,則未使用 -f 選項時,將會提交該檔案。
          • 您是從未包含 IRX 檔案的目錄中發出指令。在此情況下,必須使用 -f 選項來指定要提交的 IRX 檔案的路徑及檔名。
        • -n:指定 -n <scan_name>,其中 <scan_name> 是在雲端進行的掃描名稱。
        • -a(僅限 HCL Cloud Marketplace:如果您連線至位於 HCL Cloud MarketplaceAppScan on Cloud 服務,您提交至雲端的 IRX 檔案必須關聯至現有的 AppScan on Cloud 應用程式。在這個選項中,指定 -a <app_id>,其中 <app_id> 是要產生關聯之應用程式的 ID。如果要判斷 ID,請使用 list_apps 指令。
      • queue_analysis 指令完成時,將顯示分析工作的 ID。如果您要使用 CLI 來接收 AppScan on Cloud 分析報告,則需要在 get_result 指令中包含此工作 ID,而且應該記下此 ID如果您使用 CLI 來接收分析報告,您可以選擇接收包含 .ozasmt 檔的封存 (.zip),就能在 AppScan® Source 中開啟分析報告。如果只有興趣查看 HTML 報告,您可以使用 CLI 或 AppScan on Cloud Web 用戶端來下載報告。

      如需使用 queue_analysis 指令的詳細資料,請參閱分析指令 (Windows)分析指令 (Linux)

  5. 如果您使用 CLI 來上傳 IRX,或在 AppScan on Cloud Web 用戶端中選取掃描完成時以電子郵件通知我勾選框,當掃描完成時,您會收到電子郵件。
  6. 選擇擷取分析報告的方法。您可以使用 CLI get_result 指令,或使用 AppScan on Cloud Web 用戶端。如果您使用 CLI 來接收分析報告,您可以選擇接收包含 .ozasmt 檔的封存 (.zip),就能在 AppScan® Source 中開啟分析報告。如果只有興趣查看 HTML 報告,您可以使用 CLI 或 AppScan on Cloud Web 用戶端來下載報告。
  7. 如果您要使用 CLI get_result 指令來擷取分析報告,請完成此步驟:
    1. 請確定您已從 CLI 登入服務。
    2. 在 Windows 上發出此指令:
      appscan get_result -d <file_path> -i <job_id> -t <type>

      或在 Linux 上,發出此指令:

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      此引數是必要的:

      • -i:指定 -i <job_id>,其中 <job_id> 是分析工作的 ID。
      註: 如果在發出 queue_analysis 指令時未記下 ID,您可以使用 appscan listappscan.sh list 指令來查看所有分析工作的清單。如需相關資訊,請參閱分析指令 (Windows)分析指令 (Linux)

      這些引數是選用的:

      • -d:指定 -d <file_path>,其中 <file_path> 是目的地檔案的完整路徑及/或目的地檔案的檔名。如果未指定檔名,則檔名將根據掃描工作名稱。如果未指定路徑,則會將檔案儲存至現行目錄。如果未包括此選項,則會使用根據掃描工作名稱的檔名,將檔案儲存至現行目錄。
      • -t:指定 -t <type>,其中 <type>htmlzip。結果會儲存為 HTML 檔,或儲存為包含 HTML 結果的 .zip 檔案。如果未包括此選項,則會將結果儲存為 HTML 檔案。

        如果掃描結果是針對 package 指令所產生 IRX 檔案,則指定 -t zip 所儲存的結果會包含新的 .ozasmt 檔案,而可供載入 AppScan® Source 9.0 版或更新版本產品中。

      如需使用 get_result 指令的詳細資料,請參閱結果指令 (Windows)結果指令 (Linux)

  8. 如果您要使用 Web 用戶端來擷取分析報告,請完成此步驟:如果只有興趣查看 HTML 報告,您可以使用 AppScan on Cloud Web 用戶端來下載報告。

    當您登入服務時,應該會自動看到您的掃描清單(如果您已導覽至服務的另一個區段,請按一下右上方的 X 圖示以回到掃描清單)。在掃描清單中,找到掃描並選取下載圖示,然後選擇 XML 或 HTML 格式。

    如果要在 HCL Cloud Marketplace 進一步瞭解 AppScan on Cloud 掃描結果,請參閱https://help.hcl-software.com/appscan/ASoC/appseccloud_results_dashboard_cm.html