Configuration d'un examen à l'aide d'AppScan Go!

AppScan Go! vous guide tout au long de la configuration et de l'exécution d'un examen statique. Vous exécutez l'examen dans le cloud ou utilisez un plug-in pour automatiser l'examen.

Avant de commencer

Pour utiliser AppScan Go!, téléchargez-le et installez-le sur votre système local :
  1. Dans AppScan sur Cloud, cliquez sur Créer un examen pour ouvrir l'assistant, puis cliquez sur SAST.
  2. Sélectionnez la plateforme (Windows, Max ou Linux) pour laquelle vous souhaitez télécharger l'utilitaire, puis cliquez sur Télécharger.
  3. Procédez à l'extraction des fichiers et installez l'utilitaire sur votre système local.
Remarque : Si vous mettez à jour une installation AppScan Go! existante sur Linux vers une version plus récente, exécutez l'installation avec l'option -U.
Remarque : Configurez AppScan Go! pour utiliser un proxy système, si nécessaire.

Pourquoi et quand exécuter cette tâche

Grâce à AppScan Go!, vous pouvez configurer des examens localement avant d'exécuter une analyse dans le service.

Procédure

  1. Lancez AppScan Go! depuis votre système local.
    Vous ne devez pas être connecté au service AppScan sur Cloud pour commencer à configurer un examen. Vous devez être connecté pour procéder à un examen.
  2. Choix d'une méthode d'examen :
    • Exécutez un examen complet.
    • Créez un fichier IRX et procédez à un examen ultérieurement.
    • Créez un fichier de configuration pour automatiser les examens.
  3. Spécifiez l'emplacement des fichiers à examiner, le mode et le type d’examen, puis cliquez sur Suivant.
    1. Accédez au dossier qui contient les fichiers à examiner, puis cliquez sur Sélectionner un dossier. AppScan Go! vous permet de sélectionner uniquement des dossiers.
    2. Indiquez si vous souhaitez examiner le code compilé (bytecode) ou le code source non compilé.
    3. Indiquez un ou plusieurs types d'examens : analyse statique, Software Composition Analysis (open source) ou examen des secrets.
  4. AppScan Go! extrait les fichiers appropriés du dossier sélectionné et les répertorie afin que vous puissiez les consulter. Consultez, sélectionnez ou désélectionnez des fichiers, puis cliquez sur Suivant.
  5. Si vous avez choisi de procéder à un examen complet ou de préparer un fichier IRX, configurez les paramètres de numérisation, puis cliquez sur Suivant.
    Remarque : Vous devez être connecté à AppScan sur Cloud pour afficher la liste des applications disponibles.
    ParamètreDescription
    Nom de l'examen Donnez un nom à l'examen ou acceptez le nom par défaut créé par AppScan sur Cloud.
    Applications associées Lors de l'exécution d'un examen complet, choisissez l'application à associer à l'examen.
    Options de vitesse d'examen (SAST uniquement) Choisissez l’examen Normal, Fast, Faster ou Fastest en fonction des besoins et des exigences de temps. Notez que la vitesse de l'examen n'est pas une option configurable dans le cas des examens SCA/Open Source.
    • Un examen normal effectue une analyse complète, afin de dresser la liste des vulnérabilités la plus détaillée possible. Il s'agit de l'examen qui prend le plus de temps.
    • Un examen fast réalise une analyse plus complète de vos fichiers afin d'identifier des vulnérabilités. Il prend généralement plus de temps.
    • Un examen faster propose un niveau de détail d'analyse et d'identification des problèmes de sécurité moyen et prend un peu plus de temps que l'examen « Fastest ».
    • Un examen fastest effectue une analyse superficielle de vos fichiers, afin d'identifier les problèmes à corriger au plus vite. C'est celui qui prend le moins de temps à réaliser.
      Remarque : La vitesse d'examen n'est pas nécessairement liée au nombre relatif de vulnérabilités détectées dans le code. Par exemple, l’analyse normal peut exclure les faux positifs qui pourraient être signalés lors d'un examen fastest et, par conséquent, signaler moins de vulnérabilités.
    Préférences d’examen Lors de l'exécution d'un examen complet, spécifiez les préférences d’examen :
    • Exécuter comme examen personnel : Indiquez si l'examen va rester privé et ne sera pas inclus dans les données d'un projet parasol.
    • M'informer par e-mail lorsque les résultats de l'examen sont prêts : Indiquez si un e-mail doit être envoyé à l’issue de l'examen. Cela s'avère particulièrement utile pour les examens Normal.
  6. Si vous avez choisi de procéder à un examen complet, AppScan Go! recueille des informations pour tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire <user_home>/.appscan/temp. AppScan Go! charge ensuite le fichier IRX obtenu dans le service AppScan sur Cloud. Une fois le chargement de l'examen terminé, cliquez sur Terminer.
    Remarque : Pour procéder à un examen, vous devez être connecté à un AppScan. Voir informations sur le compte.
  7. Si vous avez choisi de créer un fichier IRX, AppScan Go! recueille des informations pour tous les fichiers pris en charge dans le répertoire et tous ses sous-répertoires, puis crée un fichier IRX dans le répertoire <user_home>/.appscan/temp. Dès que le fichier a été généré, cliquez sur Terminer.
  8. Si vous avez choisi de créer un fichier de configuration pour automatiser les examens, AppScan sur Cloud enregistre le fichier de configuration d’examen (appscan-config.xml) dans le dossier contenant vos fichiers à examiner. Cliquez sur Terminer pour quitter AppScan Go!
    A ce stade, vous pouvez quitter l'utilitaire et le reprendre plus tard, vous connecter au service AppScan sur Cloud et configurer et exécuter l'examen maintenant ou utiliser le fichier de configuration pour l'automatiser à l'aide de l'un des plug-ins répertoriés.
    Remarque : Pour plus d'informations sur l'utilisation des fichiers de configuration, voir Configuration de la génération de fichier IRX avec l'interface de ligne de commande.
  9. Ouvrir AppScan sur Cloud pour consulter le statut ou les résultats de l'examen ou pour lancer un examen avec le fichier IRX généré par AppScan Go!