AppScan Go! を使用したスキャンの構成
AppScan Go! は、静的スキャンの構成と実行の手順を示します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。
始める前に
AppScan Go! を使用するには、ダウンロードしてローカル・システムにインストールします。
- AppScan on Cloud で「スキャンの作成」をクリックしてウィザードを開き、「SAST」をクリックします。
- ユーティリティーをダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、「ダウンロード」をクリックします。
- ファイルを解凍して、ユーティリティーをローカル・システムにインストールします。
注: Linux 上の既存の AppScan Go! インストールを新しいバージョンに更新する場合は、
-U
オプションを指定してインストールを実行します。このタスクについて
手順
-
ローカル・システムで AppScan Go! を起動します
スキャンの設定を開始するのに、AppScan on Cloud サービスにログインする必要はありません。スキャンを完了するには、ログインする必要があります。
-
スキャン方法を選択します。
- 完全なスキャンを実行します。
- IRX ファイルを作成し、後でスキャンを実行します。
- スキャンを自動化するための構成ファイルを作成します。
-
スキャンするファイルの場所と、スキャン・モードおよびタイプを指定して、「次へ」をクリックします。
-
AppScan Go! で、選択したフォルダーから適切なファイルが取得され、確認のために一覧表示されます。ファイルを確認、選択、または選択解除して、「次へ」をクリックします。
-
完全なスキャンを実行するか、IRX ファイルを準備することにした場合は、スキャン設定を構成し、「次へ」をクリックします。
注: 使用可能なアプリケーションのリストを表示するには、AppScan on Cloud にログインする必要があります。
設定 説明 スキャン名 スキャンの名前を指定するか、AppScan on Cloud で作成されたデフォルト名をそのまま使用します。 関連アプリケーション 完全なスキャンを実行するときは、スキャンに関連付けるアプリケーションを選択します。 スキャン速度オプション (SASTのみ) ニーズや時間の要求に基づいて、「通常」、「高速」、「より高速」、「最速」のスキャンを選択します。SCA/オープン・ソース・スキャンの場合、スキャン速度は構成できません。 normal
スキャンでは、包括的な分析を実行して、最も詳細な脆弱性リストを特定し、完了までに最も多くの時間がかかります。fast
スキャンでは、ファイルの徹底的な分析を実行して脆弱性を特定します。通常、完了までにより多くの時間がかかります。faster
スキャンでは、中程度の詳細レベルでセキュリティー問題を分析および特定でき、「最速」スキャンよりは完了までに多少時間がかかります。fastest
スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を特定します。完了に要する時間が最も短いスキャンです。注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、fastest
スキャンでレポートされる可能性のある誤検出がnormal
分析では除外されるため、レポートされる脆弱性がより少なくなる場合があります。
スキャン設定 完全なスキャンを実行する場合は、スキャン設定を指定します。 - 個人スキャンとして実行: スキャンを個人的なものにして、包括的なプロジェクト・データに含めないかどうかを示します。
- 検出結果の準備ができたら E メールで通知: スキャンの完了後に E メールを送信するかどうかを示します。これは、「通常」スキャンの場合に特に便利です。
-
完全なスキャンを実行することにした場合、AppScan Go! は、ディレクトリーとそのすべてのサブディレクトリーにあるサポートされているファイルの情報を収集して、
<user_home>/.appscan/temp
ディレクトリーに IRX ファイルを作成します。次に、AppScan Go! は、生成された IRX ファイルを AppScan on Cloud サービスにアップロードします。スキャンのアップロードが完了したら、「完了」をクリックします。 -
IRX ファイルを作成することにした場合、AppScan Go! はディレクトリーとそのすべてのサブディレクトリーにあるサポートされているファイルの情報を収集して、
<user_home>/.appscan/temp
ディレクトリーに IRX ファイルを作成します。ファイルの生成が完了したら、「完了」をクリックします。 -
スキャンを自動化するための構成ファイルを作成することにした場合、AppScan on Cloud は、スキャン構成ファイル (appscan-config.xml) を、スキャンするファイルとともにフォルダーに保存します。「完了」をクリックして、AppScan Go! を終了します。
この時点でユーティリティーを終了して後から再開することも、AppScan on Cloud サービスにログインし今すぐスキャンを構成して実行することも、構成ファイルを使用してリストされているプラグインのいずれかでスキャンを自動化することもできます。注: 構成ファイルを使用した追加情報については、CLI を使用した IRX ファイル生成の構成を参照してください。
- AppScan on Cloud を開いて、スキャンの状況または結果を確認するか、AppScan Go! で生成された IRX ファイルを使用してスキャンを開始します。