静的分析のシステム要件

このトピックでは、サポートされているオペレーティング・システムと、静的分析を実行する場合に ASoC でスキャンできるファイルのタイプ、ロケーション、プロジェクトについて説明します。

言語サポート

表 1. 静的分析の言語サポート
Language サポートされている クライアント・ユーティリティー CLI ファイル・タイプ 言語がサポートされているオペレーティング・システム
APEX
  • .cls
  • .page
サポートされるすべてのオペレーティング・システム
ASP クラシック
  • .asp
  • .asa
  • .inc
サポートされるすべてのオペレーティング・システム
Java™ および Java Web コンテンツ
  • .class
  • .jar
  • .war
  • .ear
  • Eclipse ワークスペース内の Java プロジェクト
  • サポートされているアプリケーション・サーバー上にデプロイされた Java Web アプリケーション。サポートされているアプリケーション・サーバーには、以下が含まれます。
    • Apache Tomcat バージョン 7 以上
    • WebSphere® Application Server バージョン 7、8.0、および 8.5
    • Weblogic 10.3、12.1、および 12.2
サポートされるすべてのオペレーティング・システム
.NET (C#、ASP.NET、VB.NET)
  • Visual Studio ソリューション
  • .NET アセンブリー
Windows
C/C++ Visual Studio ソリューション
注: 重要な追加情報については、以下の「Microsoft Visual Studio サポート」を参照してください。
Windows
COBOL
  • .cob
  • .cbl
  • .ws
  • .sqb
SAClientUtil/config/file_extensions.xml に追加のファイル拡張子を追加できます
サポートされるすべてのオペレーティング・システム
ColdFusion
  • .cfc
  • .cfm
サポートされるすべてのオペレーティング・システム
移動
  • 移動
サポートされるすべてのオペレーティング・システム
JavaScript クライアント側 JavaScript、NodeJS、および AngularJS サポート用の次の拡張子を含めます。
  • .asp
  • .aspx
  • .asa
  • .htm
  • .html
  • .xhtml
  • .inc
  • .js ファイルを含む
  • .jsf
  • .jsp
  • .jspx
  • .jspi
  • .php*
  • .svg
  • .ts
  • .tsx
  • .wlapp
サポートされるすべてのオペレーティング・システム
Kotlin
  • .kt
サポートされるすべてのオペレーティング・システム
Perl
  • .pl
  • .pm
  • .cgi
  • .t
サポートされるすべてのオペレーティング・システム
PHP
  • .php
  • .php*
  • .phtm
  • .inc
Windows および Linux
PL/SQL
  • .sql
  • .arc
  • .dbf
  • .lst
  • .pck
  • .pkb
  • .pks
  • .plb
  • .pls
  • .rdo
  • .sf
  • .sp
  • .spb
  • .sps
  • .tst
サポートされるすべてのオペレーティング・システム
Python
  • .py
  • .pyt
  • .pyw
サポートされるすべてのオペレーティング・システム
Ruby
  • .rb
  • .gem
サポートされるすべてのオペレーティング・システム
Swift
  • .swift
  • .plist
サポートされるすべてのオペレーティング・システム
T-SQL
  • .sql
  • .arc
  • .dbf
  • .lst
  • .rdo
サポートされるすべてのオペレーティング・システム
Visual Basic
  • .bas
  • .cls
  • .frm
サポートされるすべてのオペレーティング・システム

静的分析コマンド・ライン・インターフェース (CLI) からサポートされているすべての言語をスキャンできます。さらに、Eclipse と IntelliJ IDEA では Java プロジェクトをスキャンできます。Visual Studio では .NET および C/C++ をスキャンできます。

オペレーティング・システムのサポート

Static Analyzer Client Utility は、Windows™、macOS、および Linux™ でサポートされています。

Windows: クライアント・ユーティリティー は 64 ビット・システムでサポートされ、64 ビット・モードで実行されます。

macOS: 静的分析 CLI、Eclipse プラグイン、および Maven プラグインは、macOS バージョン 10.11 以降でサポートされます。クライアント・ユーティリティーは 64 ビット・システムでサポートされ、64 ビット・モードで実行されます。

Linux: クライアント・ユーティリティーは、64 ビット・システムでのみサポートされます。

Gradle のサポート

HCL AppScan on Cloud Gradle プラグインは、Gradle で Java と Java Web プロジェクトのスキャンを自動化するために使用されます。このプラグインは、「java」プラグインまたは「war」プラグインが適用されている Gradle プロジェクト用の IRX ファイルを生成します。オプションで、生成された IRX ファイルを分析のためにクラウド・サービスに送信することができます。

プラグインを使用するには、build.gradle に次の行を追加します。

Gradle 2.1 以降の場合

plugins {
	id "com.ibm.application.security" version "1.0.0"
}
Gradle バージョン 2.0 以前の場合

buildscript {
	repositories {
    		maven { url "https://plugins.gradle.org/m2/" }
  	}
  	dependencies { classpath "https://plugins.gradle.org/plugin/com.hcl.security.appscan" }
}

apply plugin: 'com.ibm.application.security'

Maven のサポート

Maven ASoC プラグインが Maven Central Repository で利用できるようになりました。このプラグインを手動でインストールする必要はなくなりました。

appscan-maven-プラグインの prepare ゴールを使用して、ビルド内のすべての jar、war、および ear プロジェクト用の IRX ファイルを生成します。

Eclipse のサポート

Eclipse ユーザー・インターフェースから Java プロジェクトをスキャンできるようにするためのプラグインを Eclipse にインストールできます。Eclipse バージョン 4.2 以降がサポートされています。これには、Eclipse バージョン 4.2 の Eclipse 3.8 リリースが含まれます。

Eclipse プラグインをインストールするには、システムに Eclipse をインストールする必要があります。

Eclipse プラグインを取得するには、Eclipse Marketplace でプラグインを検索します。または、Eclipse で、「ヘルプ」 > 「Eclipse Marketplace」に移動し、IBM Application Security on Cloud を検索します。

IntelliJ IDEA のサポート

IntelliJ IDEA ユーザー・インターフェースから Java プロジェクトをスキャンできるようにするためのプラグインを IntelliJ IDEA にインストールできます。IntelliJ IDEA バージョン 15.x から 2017 がサポートされています。

IntelliJ IDEA プラグインをインストールするには、システムに IntelliJ IDEA がインストールされている必要があります。

IntelliJ プラグインを取得してインストールするには、JetBrains Plugins Repository でプラグインを検索します。または IntelliJ で、「ファイル」 > 「設定」 に移動し、「プラグイン」を選択して「リポジトリーを参照…」をクリックします。IBM Application Security on Cloud を探します。

注: 結果とレポートを表示するには、IntelliJ IDEA を Oracle JDK で実行する必要があります。Oracle JDK を使用して IntelliJ IDEA をセットアップする方法については、IntelliJ IDEA の資料を参照してください。
注: IntelliJ プラグインを Macintosh にインストールする際に、AppScan on Cloud は、ユーザーのホーム・ディレクトリーで .bash_profile を作成または更新して、$APPSCAN_INSTALL_DIR を設定し、Static Analyzer の bin ディレクトリーへのパスを $PATH に追加し、同じ bin ディレクトリーへのパスを $DYLD_LIBRARY_PATH に追加します。Macintosh で IntelliJ プラグインを使用するには、ユーザーはプラグインをインストールしたユーザーとしてログインし、端末から以下を実行する必要があります。
/Applications/IntelliJ\ IDEA\ CE.app/Contents/MacOS/idea
これにより、ユーザーの環境変数を使用して、IntelliJ プラグインが起動されます。

Microsoft™ Visual Studio サポート

Visual Studio ユーザー・インターフェースから .NET (C#、ASP.NET、VB.NET) および C++ ソリューション、プロジェクト、および Web サイトをスキャンできるようにするためのプラグインを Visual Studio にインストールできます。Visual Studio プラグインをインストールするには、システムに Visual Studio がインストールされている必要があります。

Visual Studio プラグインを取得するには、Visual Studio Marketplace でプラグインを検索します。または、Visual Studio で、「ツール」 > 「拡張と更新」に移動します。「オンライン」を選択して「Static Analyzer」を検索します。

AppScan on Cloud  では、次の Visual Studio バージョンをサポートしています。
.NET (C#、ASP.NET、VB.NET) C++
Visual Studio 2010 X X
Visual Studio 2012 X X
Visual Studio 2013 X X
Visual Studio 2015 X X
Visual Studio 2017 X **
Visual Studio 2019 X **
** VC++ プロジェクトに対するサポートは、プラットフォーム・ツールセット v140 までです。
サポートされている言語について、AppScan on Cloud では IDE プラグインを使用して対話式に、および AppScan CLI を使用して自動的に、Visual Studio プロジェクトをスキャンすることができます。次の統合を使用できます。
Visual Studio プラグイン コマンド・ライン・インターフェース (CLI)
Visual Studio 2010 X
Visual Studio 2012 X X
Visual Studio 2013 X X
Visual Studio 2015 X X
Visual Studio 2017 X X
Visual Studio 2019 X X
注: Visual Studio プラグインは macOS や Linux ではサポートされません。

Jenkins のサポート

ASoC Jenkins プラグインを使用すると、動的分析、静的分析およびモバイル分析のビルド手順を Jenkins のビルド・プロジェクトに追加できます。プラグインは Jenkins バージョン 1.609.1 以降にインストールできます。このプラグインから、Cloud MarketplaceASoC サービスへ接続できます。

Visual Studio Team Services/Team Foundation Server (Azure DevOps) のサポート

Visual Studio Team Services/Team Foundation Server (Azure DevOps) プラグインを使用すると、VSTS および TFS プロジェクトの静的、動的、またはモバイル・スキャンを実行できます。プラグインについて詳しくは、Static Analyzer クライアント・ユーティリティーで使用する Visual Studio Team Services プラグインのインストールと使用を参照してください。

アプリケーション・サーバーのサポート

クライアント・ユーティリティー には、基本 JavaServer Page コンパイルに使用される Apache Tomcat バージョン 7 アプリケーション・サーバー .jar ファイルが含まれます。互換性を高めるため、各自所有のアプリケーション・サーバーを使用するよう CLI を構成できます (サポートされるアプリケーション・サーバーには、Apache Tomcat バージョン 7 以上、WebSphere Application Server バージョン 7、8.0、および 8.5.x、Oracle Weblogic Server バージョン 10.3 および 12.x が含まれます)。

クライアント・ユーティリティー とクラウド・サービスのバージョンの互換性

Static Analyzer Client Utilityのバージョンが自動的にチェックされます。

  • Windowsappscan prepare コマンドまたは Linux および macOSappscan.sh prepare コマンドを実行します。
  • 「静的分析の実行」アクションを、静的分析プラグインがインストールされている統合開発環境で使用する場合。
  • prepare オプションを使用して Maven プロジェクトの IRX ファイルを生成する場合。
  • Windowsappscan queue_analysis コマンドまたは Linux および macOSappscan.sh queue_analysis コマンドを使用して IRX ファイルをアップロードします。
  • IRX ファイルをクラウドにアップロードする場合。

prepare のいずれか、または「静的分析の実行」アクションを実行すると、新しいバージョンのクライアント・ユーティリティーが使用可能であることを通知するメッセージが表示される場合があります。その場合、クライアント・ユーティリティーをアップグレードせずに続行することも、クライアント・ユーティリティーをアップグレードして新しい機能を利用することもできます

現在サポートされていないクライアント・ユーティリティーを使用して上記のアクションを実行すると、クライアント・ユーティリティーの更新を求めるメッセージが表示されます。この場合、最新の クライアント・ユーティリティー をダウンロードしてセットアップします。