Configuration d'un examen à l'aide d'AppScan Go!

AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Vous pouvez ensuite exécuter l'examen dans le cloud ou utiliser un plug-in pour automatiser l'examen.

Avant de commencer

La première fois que vous utilisez AppScan Go!, il télécharge toutes les mises à jour nécessaires :
  1. Dans AppScan 360°, cliquez sur Créer un examen pour ouvrir l'assistant, puis sur SAST.
  2. Sélectionnez la plateforme (Windows, Max ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire, puis cliquez sur Télécharger.
  3. Sélectionnez la plateforme (Windows, Max ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire de ligne de commande (CLI), puis cliquez sur Télécharger.
  4. Extrayez le package SAClientUtil. À partir du dossier parent SAClientUtil, copiez l'enfant SAClientUtil dans votre dossier .appscan. Si nécessaire, créez le dossier.
    • Windows : <user_home>\.appscan\
    • Linux : <user_home>/.appscan/
  5. Procédez à l'extraction des fichiers AppScan Go! et installez l'utilitaire sur votre système local.
  6. Désactivez le paramètre de mise à jour automatique dans les paramètresAppScan Go!.
Remarque : Si vous rencontrez une erreur lors du lancement de AppScan Go!, voir La mise à jour automatique de l'AppScan Go! échoue.
Remarque : Si vous mettez à jour une installation AppScan Go! existante sur Linux vers une version plus récente, exécutez l'installation avec l'option -U.
Remarque : Configurez AppScan Go! pour utiliser un proxy système, si nécessaire.

Pourquoi et quand exécuter cette tâche

Grâce à AppScan Go!, vous pouvez configurer des examens localement avant d'exécuter une analyse dans le service.

Procédure

  1. Lancez AppScan Go! depuis votre système local.
    Vous ne devez pas être connecté au service AppScan 360° pour commencer à configurer un examen. Vous devez obligatoirement être connecté pour effectuer un examen.
  2. Choisissez une méthode d'examen :
    • Effectuez un examen intégral.
    • Créez un fichier IRX et effectuez un examen ultérieurement.
    • Créez un fichier de configuration pour automatiser les examens.
  3. Spécifiez l'emplacement des fichiers à examiner, le mode et le type d'examen, puis cliquez sur Suivant.
    1. Accédez au dossier qui contient les fichiers à examiner, puis cliquez sur Sélectionner un dossier. AppScan Go! vous permet de sélectionner uniquement des dossiers.
    2. Indiquez un ou plusieurs types d'examen : statique, analyse de composition logicielle (open source) ou analyse des secrets.
      Remarque : Les examens SCA (Open Source) ont besoin d'une licence appropriée. SCA n'est actuellement pas disponible dans AppScan 360°.
    3. Indiquez si vous souhaitez examiner le code compilé (bytecode) ou le code source non compilé.
      AppScan Go! recommande automatiquement le meilleur mode d'examen pour le fichier défini.
  4. AppScan Go! extrait les fichiers appropriés du dossier sélectionné et les répertorie afin que vous puissiez les consulter. Consultez, sélectionnez ou désélectionnez des fichiers, puis cliquez sur Continuer.
  5. Si vous avez choisi d'exécuter un examen complet ou de préparer un fichier IRX, configurez les paramètres d'examen, puis cliquez sur Suivant.
    Remarque : Vous devez être connecté à AppScan 360° pour afficher la liste des applications disponibles.
    ParamètreDescription
    Nom de l'examen Donnez un nom à l'examen ou acceptez le nom par défaut créé par AppScan 360°.
    Applications associées Lors de l'exécution d'un examen complet, choisissez l'application à associer à l'examen.
    Options de vitesse d'examen (SAST uniquement) Choisissez l'examen Normal, Rapide, Plus rapide, ou Le plus rapide en fonction des besoins et du temps disponible. Notez que la vitesse d'examen n'est pas une option configurable pour les examens SCA/open source.
    • Un examen normal effectue une analyse complète afin de dresser la liste des vulnérabilités la plus exhaustive possible. Il s'agit de l'examen qui prend le plus de temps.
    • Un examen fast réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps.
    • Un examen faster propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen « Le plus rapide ».
    • Un examen fastest effectue une analyse superficielle de vos fichiers afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser.
      Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, une analyse normal peut exclure les faux positifs qui pourraient être signalés lors d'un examen fastest et, par conséquent, signaler moins de vulnérabilités.
    Préférences d'examen Lors de l'exécution d'un examen intégral, spécifiez les préférences d'examen :
    • Effectuer un examen personnel : Indiquez si l'examen restera privé et ne sera pas inclus dans les données du projet global.
    • M'informer par e-mail lorsque les résultats de l'examen sont prêts : Indiquez si un e-mail doit être envoyé lorsque l'examen est terminé. Cela s'avère particulièrement utile pour les examens Normaux.
  6. Si vous avez opté pour un examen intégral, AppScan Go! recueille des informations sur tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire <user_home>/.appscan/temp. AppScan Go! charge ensuite le fichier IRX obtenu dans le service AppScan 360°. Une fois le chargement de l'examen terminé, cliquez sur Terminer.
    Remarque : Vous devez être connecté à un service AppScan pour effectuer un examen. Voir informations sur le compte.
  7. Si vous avez choisi de créer un fichier IRX, AppScan Go! recueille des informations sur tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire <user_home>/.appscan/temp. Lorsque la génération du fichier est terminée, cliquez sur Terminer.
  8. Si vous avez choisi de créer un fichier de configuration pour automatiser les examens, AppScan 360° enregistre le fichier de configuration d'examen (appscan-config.xml) dans le dossier contenant vos fichiers à examiner. Cliquez sur Terminer pour quitter AppScan Go !
    Vous pouvez quitter l'utilitaire à ce stade et le reprendre plus tard, vous connecter au service AppScan 360° et configurer et exécuter l'examen maintenant, ou utiliser le fichier de configuration pour automatiser l'examen à l'aide de l'un des plug-ins répertoriés.
    Remarque : Pour plus d'informations sur l'utilisation des fichiers de configuration, voir Configuration de la génération de fichier IRX avec l'interface de ligne de commande.
  9. Ouvrez AppScan 360° pour consulter le statut ou les résultats de l'examen, ou pour lancer un examen avec le fichier IRX généré par AppScan Go!