AppScan Go! を使用したスキャンの構成

AppScan Go! は、静的スキャンの構成と実行の手順を示します。クラウドでスキャンを実行するか、プラグインを使用してスキャンを自動化します。

始める前に

AppScan Go! を使用するには、ダウンロードしてローカル・システムにインストールします。
  1. AppScan on Cloud「スキャンの作成」をクリックしてウィザードを開き、「SAST」をクリックします。
  2. ユーティリティーをダウンロードするプラットフォーム (Windows、Mac、または Linux) を選択して、「ダウンロード」をクリックします。
  3. ファイルを解凍して、ユーティリティーをローカル・システムにインストールします。
注: Linux 上の既存の AppScan Go! インストールを新しいバージョンに更新する場合は、-U オプションを指定してインストールを実行します。
注: 必要に応じて、システム・プロキシーを使用するように AppScan Go! を構成します。

このタスクについて

AppScan Go! を使用すると、サービスで分析を実行する前に、ローカルにスキャンを構成できます。

手順

  1. ローカル・システムで AppScan Go! を起動します
    スキャンの設定を開始するのに、AppScan on Cloud サービスにログインする必要はありません。スキャンを完了するには、ログインする必要があります
  2. スキャン方法を選択します。
    • 完全なスキャンを実行します。
    • IRX ファイルを作成し、後でスキャンを実行します。
    • スキャンを自動化するための構成ファイルを作成します。
  3. スキャンするファイルの場所と、スキャン・モードおよびタイプを指定して、「次へ」をクリックします。
    1. スキャンするファイルを含むフォルダーを参照して、「フォルダーの選択」をクリックします。AppScan Go! では、フォルダーのみを選択できます。
    2. コンパイル済みコード (バイトコード) をスキャンするか、未コンパイル・ソース・コードをスキャンするかを指定します。
    3. 静的分析、ソフトウェア・コンポジション分析 (オープン・ソース)、または秘密のスキャンから、スキャン・タイプを少なくとも 1 つ指定します。
  4. AppScan Go! で、選択したフォルダーから適切なファイルが取得され、確認のために一覧表示されます。ファイルを確認、選択、または選択解除して、「次へ」をクリックします。
  5. 完全なスキャンを実行するか、IRX ファイルを準備することにした場合は、スキャン設定を構成し、「次へ」をクリックします。
    注: 使用可能なアプリケーションのリストを表示するには、AppScan on Cloud にログインする必要があります。
    設定説明
    スキャン名 スキャンの名前を指定するか、AppScan on Cloud で作成されたデフォルト名をそのまま使用します。
    関連アプリケーション 完全なスキャンを実行するときは、スキャンに関連付けるアプリケーションを選択します。
    スキャン速度オプション (SASTのみ) ニーズや時間の要求に基づいて、「通常」「高速」「より高速」「最速」のスキャンを選択します。SCA/オープン・ソース・スキャンの場合、スキャン速度は構成できません。
    • normal スキャンでは、包括的な分析を実行して、最も詳細な脆弱性リストを特定し、完了までに最も多くの時間がかかります。
    • fast スキャンでは、ファイルの徹底的な分析を実行して脆弱性を特定します。通常、完了までにより多くの時間がかかります。
    • faster スキャンでは、中程度の詳細レベルでセキュリティー問題を分析および特定でき、「最速」スキャンよりは完了までに多少時間がかかります。
    • fastest スキャンでは、ファイルの表面レベルの分析を実行して、修復に最も急を要する問題を特定します。完了に要する時間が最も短いスキャンです。
      注: スキャンの速度は、コードで検出された脆弱性の相対数と相関するとは限りません。例えば、fastest スキャンでレポートされる可能性のある誤検出が normal 分析では除外されるため、レポートされる脆弱性がより少なくなる場合があります
    スキャン設定 完全なスキャンを実行する場合は、スキャン設定を指定します。
    • 個人スキャンとして実行: スキャンを個人的なものにして、包括的なプロジェクト・データに含めないかどうかを示します。
    • 検出結果の準備ができたら E メールで通知: スキャンの完了後に E メールを送信するかどうかを示します。これは、「通常」スキャンの場合に特に便利です。
  6. 完全なスキャンを実行することにした場合、AppScan Go! は、ディレクトリーとそのすべてのサブディレクトリーにあるサポートされているファイルの情報を収集して、<user_home>/.appscan/temp ディレクトリーに IRX ファイルを作成します。次に、AppScan Go! は、生成された IRX ファイルを AppScan on Cloud サービスにアップロードします。スキャンのアップロードが完了したら、「完了」をクリックします。
    注: スキャンを完了するには、AppScan サービスにログインする必要があります。「アカウント情報」を参照してください。
  7. IRX ファイルを作成することにした場合、AppScan Go! はディレクトリーとそのすべてのサブディレクトリーにあるサポートされているファイルの情報を収集して、<user_home>/.appscan/temp ディレクトリーに IRX ファイルを作成します。ファイルの生成が完了したら、「完了」をクリックします。
  8. スキャンを自動化するための構成ファイルを作成することにした場合、AppScan on Cloud は、スキャン構成ファイル (appscan-config.xml) を、スキャンするファイルとともにフォルダーに保存します。「完了」をクリックして、AppScan Go! を終了します。
    この時点でユーティリティーを終了して後から再開することも、AppScan on Cloud サービスにログインし今すぐスキャンを構成して実行することも、構成ファイルを使用してリストされているプラグインのいずれかでスキャンを自動化することもできます。
    注: 構成ファイルを使用した追加情報については、CLI を使用した IRX ファイル生成の構成を参照してください。
  9. AppScan on Cloud を開いて、スキャンの状況または結果を確認するか、AppScan Go! で生成された IRX ファイルを使用してスキャンを開始します。