SCA で使用するための Static Analyzer コマンド行ユーティリティー の設定

ソフトウェア・コンポジション分析の場合は、小さい コマンド行ユーティリティー をダウンロードしてください。ユーティリティーをローカル・ディスクに解凍すると、コマンド行インターフェース (CLI) を使用してセキュリティー分析を実行できます。

このタスクについて

SCA を使用するとき、ソース・コードをスキャンして、クラウドにアップロードするファイルを生成します。暗号化された IRX (.irx) ファイルをトレース分析を使用してスキャンし、セキュリティーの脆弱性を検出します。

重要: コマンド行ユーティリティー を非 ASCII 文字を含むディレクトリーに保存しないでください。
注: AppScan Go! を使用して IRX ファイルを生成するには、「AppScan Go! を使用したスキャンの構成」の手順に従ってください。

手順

コマンド行ユーティリティー をセットアップするには、次の手順を実行します。
  1. コマンド行ユーティリティー を実行する予定のプラットフォームを選択し、次に「ダウンロード」をクリックします。これにより、SAClientUtil_<version>_<os>.zip ファイルがダウンロードされます (<version> は、最新バージョンのコマンド行ユーティリティー<os> は、コマンド行ユーティリティー用のオペレーティング・システムです)。
    注: フォームでIRX ファイルを作成するには?」を選択してウェルカム・フォームをもう一度開くと、IRX ファイルを選択できます。
  2. ファイルをローカル・ドライブに解凍します。
  3. CLI を使用して IRX ファイルを生成したりIRX ファイルをアップロードしたり、スキャンを管理したりする場合は、抽出された SAClientUtil_<version>_<os>.zip ファイルの \bin ディレクトリーの場所を PATH 環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、抽出された SAClientUtil_<version>_<os>.zip ファイルの \bin ディレクトリーを使用してすべてのコマンドを修飾しなければならなくなります。
    ヒント: PATH の変更後に、コマンド・プロンプトで appscan version (Windows) または appscan.sh version (Linux と macOS) を発行します。Static Analyzer コマンド行ユーティリティーのバージョン、ホーム、およびその他の情報が返された場合は、PATH が正しく設定されています。

次のタスク

プロキシー内にあるコンピューターでコマンド行ユーティリティーを実行している場合は、次のいずれかの方法でプロキシーを指定すると、コマンド行ユーティリティーをクラウドに接続できます。

  • コマンド行ユーティリティー CLI とサポートされている統合開発環境 (IDE): このグローバルまたはシステム環境変数を設定し、プロキシーが自動的に認識されるようにします。
    • Windows: APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
    • Linux と macOS: APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"

    この場合、<proxy> にはプロキシー・サーバーのホスト名が入り、<port> にはプロキシー・サーバーが使用するポート番号が入ります。

    あるいは、CLI または (コマンド・プロンプトまたは端末から起動された) IDE を使用するたびに、次のコマンドを実行してコマンド行ユーティリティーがそのプロキシーを使用するよう設定できます。

    • Windows: set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
    • Linux と macOS: export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
  • Maven: 静的分析プラグインを Maven に追加した場合、プロパティーをグローバルに MAVEN_OPTS 環境変数に追加するか、各コマンドにプロパティーを追加することができます。
注: AppScan on Cloud の機能を最大限に活用するには、Static Analyzer コマンド行ユーティリティーおよびすべてのプラグインを最新の状態に保つ必要があります。
  • Static Analyzer コマンド行ユーティリティーの更新は定期的に提供され、詳細は「最新の更新」にリストされます。更新には、以下のものが含まれます。
    • 新しい言語サポート
    • 言語サポートの更新 (サポートされる言語に関連付けられる新しいファイル・タイプなど)
    • 新機能
    • Fixes
  • プラグインの実行時に、最新の Static Analyzer コマンド行ユーティリティー が自動的にダウンロードされます。
  • Static Analyzer コマンド行ユーティリティー の旧バージョンを使用してスキャン用のコードを作成しようとすると、ユーティリティーを最新バージョンに更新するように求めるメッセージが表示される場合があります。ご使用のオペレーティング・システム (WindowsLinuxMac) に基づいて、最新の Static Analyzer コマンド行ユーティリティーにアップグレードします。
  • AppScan Go! を使用していて、更新が提供されている場合は、最新の更新を受け入れてインストールします。