AppScan Go! を使用したスキャンの構成

AppScan Go! は、静的スキャンを構成して実行するための手順をガイドします。クラウドでスキャンを実行することも、プラグインを使用してスキャンを自動化することもできます。

始める前に

初めて AppScan Go! を使用するときは、必要な更新がダウンロードされます。
  1. AppScan 360°「スキャンの作成」をクリックしてウィザードを開き、「SAST」をクリックします。
  2. ユーティリティーをダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、「ダウンロード」をクリックします。
  3. コマンド・ライン・ユーティリティー (CLI) をダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、[ダウンロード] をクリックします。
  4. SAClientUtil パッケージを解凍します。親 SAClientUtil フォルダーから、子 SAClientUtil.appscan フォルダーにコピーします。必要に応じて、フォルダーを作成します。
    • Windows: <user_home>\.appscan\
    • Linux: <user_home>/.appscan/
  5. AppScan Go! ファイルを解凍して、ユーティリティーをローカル・システムにインストールします。
  6. AppScan Go!設定で、自動更新設定を無効にします。
注: AppScan Go! 起動中にエラーが発生した場合は、「AppScan Go! の自動更新に失敗しました」を参照してください。
注: Linux 上の既存の AppScan Go! インストールを新しいバージョンに更新する場合は、-U オプションを指定してインストールを実行します。
注: 必要に応じて、システム・プロキシーを使用するように AppScan Go! を構成します。

このタスクについて

AppScan Go! を使用すると、サービスで分析を実行する前に、ローカルにスキャンを構成できます。

手順

  1. ローカル・システムで AppScan Go! を起動します
    スキャンの設定を開始するのに、AppScan 360° サービスにログインする必要はありません。スキャンを完了するには、ログインする必要があります
  2. スキャン・メソッドの選択:
    • 完全スキャンを実行します。
    • IRX ファイルを作成し、後でスキャンを実行します。
    • スキャンを自動化するための構成ファイルを作成します。
  3. スキャン対象のファイルの場所を指定し、スキャン・モードとタイプを入力して、「次へ」をクリックします。
    1. スキャンするファイルを含むフォルダーを参照して、「フォルダーの選択」をクリックします。AppScan Go! では、フォルダーのみを選択できます。
    2. 1 つ以上のスキャン・タイプ (静的分析、ソフトウェア・コンポジション分析 (オープン・ソース)、またはシークレット・スキャンを指定します。
      注: SCA (オープン・ソース) スキャンには、適切なライセンスが必要です。SCA は現在、AppScan 360° では使用できません。
    3. コンパイル済みのコード (バイトコード) をスキャンするか、コンパイルされていないソース・コードをスキャンするかを指定します。
      AppScan Go! は自動的に、ファイル・セットに最適なスキャン・モードを推奨します。
  4. AppScan Go! で、選択したフォルダーから適切なファイルが取得され、確認のために一覧表示されます。ファイルを確認、選択、または選択解除して、「次へ」をクリックします。
  5. 完全スキャンの実行、または IRX ファイルの準備を選択した場合は、スキャン設定を構成してから「次へ」をクリックします。
    注: 使用可能なアプリケーションのリストを表示するには、AppScan 360° にログインする必要があります。
    設定説明
    スキャン名 スキャンの名前を指定するか、AppScan 360° で作成されたデフォルト名をそのまま使用します。
    関連付けられているアプリケーション 完全スキャンを実行する場合は、スキャンに関連付けるアプリケーションを選択します。
    スキャン速度オプション (SASTのみ) 必要性と時間の要求に基づいて、「Normal」「Fast」「Faster」、または「Fastest」スキャンを選択します。SCA/オープン・ソース・スキャンの場合、スキャン速度は構成できません。
    • normal スキャンでは、包括的な分析を実行して、最も詳細な脆弱性リストを特定します。完了までに最も多くの時間がかかります。
    • fast スキャンでは、ファイルの徹底的な分析を実行して脆弱性を特定します。通常、完了までにより多くの時間がかかります。
    • faster スキャンでは、中程度の詳細レベルでセキュリティー問題の分析および特定を行うことができます。完了までの時間は、「fastest」スキャンより多少長くなります。
    • fastest スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を特定します。完了に要する時間が最も短いスキャンです。
      注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、fastest スキャンでレポートされる可能性のある誤検出が normal 分析では除外されるため、レポートされる脆弱性がより少なくなる場合があります
    スキャン・プリファレンス 完全スキャンを実行する場合は、スキャン・プリファレンスを指定します。
    • 個人スキャンとして実行: スキャンを個人的なものにして、包括的なプロジェクト・データから除外するかどうかを指定します。
    • 検出結果の準備ができたら E メールで通知: スキャンの完了後に E メールを送信するかどうかを指定します。これは、normal スキャンの場合に特に便利です。
  6. 完全スキャンの実行を選択した場合、AppScan Go! はディレクトリーとそのすべてのサブディレクトリーでサポートされているファイルの情報を収集し、<user_home>/.appscan/temp ディレクトリーに IRX ファイルを作成します。次に、AppScan Go! は、生成された IRX ファイルを AppScan 360° サービスにアップロードします。スキャンのアップロードが完了したら、「完了」をクリックします。
    注: スキャンを完了するには、AppScan サービスにログインする必要があります。「アカウント情報」を参照してください。
  7. IRX ファイルの作成を選択した場合、AppScan Go! はディレクトリーとそのすべてのサブディレクトリーでサポートされているファイルの情報を収集し、<user_home>/.appscan/temp ディレクトリーに IRX ファイルを作成します。ファイルの生成が完了したら、「完了」をクリックします。
  8. スキャンを自動化する構成ファイルの作成を選択した場合、AppScan 360°は、スキャン対象のファイルが含まれているフォルダーに、スキャン構成ファイル (appscan-config.xml) を保存します。「完了」をクリックして AppScan Go! を終了します。
    この時点でユーティリティを終了して後ほど再び起動することも、AppScan 360° サービスにログインしてスキャンを構成し実行することも、構成ファイルを使用してリストされたプラグインのいずれかでスキャンを自動化することもできます。
    注: 構成ファイルを使用した追加情報については、CLI を使用した IRX ファイル生成の構成を参照してください。
  9. AppScan 360° を開き、スキャンの状況または結果を確認するか、AppScan Go! で生成された IRX ファイルを使用してスキャンを開始します。