分析のためのクラウドへの HCL AppScan Source 評価の送信

HCL AppScan on Cloud のサブスクリプションを所有している場合は、分析のために AppScan Source 評価結果をそこに送信できます。AppScan Source バージョン 9.0 以上からの評価がサポートされています。送信できるスキャンの数は、ASoC サブスクリプションによって異なります。

このタスクについて

AppScan on Cloud サービスの静的分析機能を使用すると、Intelligent Finding Analytics (IFA) を利用したセキュリティー分析レポートを生成できます。IFA は、誤検出をフィルタリングで除外し、特定のコード・ポイントで修正できる検出結果をグループ化するという方法でトリアージ作業の大部分を自動的に処理することを特徴とした、強力な機械学習テクノロジーです。IFA について詳しくは、この記事を参照してください。

AppScan Source バージョン 9.0 以上を使用しており、AppScan on Cloud サブスクリプションがある場合は、AppScan Source 評価を AppScan on Cloud にアップロードすることで、このテクノロジーを活用できます。これにより、IFA によって自動的にトリアージされた新しいアセスメントが返されます。この評価は、HTML レポートの形式、またはご使用の AppScan Source 製品で開くことができる評価の形式で受け取ることができます。

  • 有料の AppScan on Cloud サブスクリプションがあれば、さらに 10 件の AppScan Source 評価をスキャンできます。例えば、サブスクリプションに 20 件の AppScan on Cloud スキャンが含まれている場合、さらに 10 件の AppScan Source 評価をスキャンできるため、スキャンの合計は 30 件となります。サブスクリプションで説明されているように、同時スキャンの制限には、AppScan Source 評価のスキャンが含まれます。例えば、サブスクリプションで 2 つのスキャンを同時に使用できる場合、この数には AppScan Source の評価が含まれます。
  • 試用版の AppScan on Cloud サブスクリプションがある場合、AppScan Source の評価のスキャン数は、スキャンの合計許容数に計上されます。
注: 無料試用版の AppScan on Cloud を使用して AppScan Source 評価をスキャンしている場合は、IFA によってトリアージされた AppScan Source 評価ファイルに加えて、フル HTML レポートをダウンロードすることができます。その他のすべてのスキャン・タイプについては、無料試用版を使用している場合は、要約レポートのみをダウンロードすることができます。

手順

  1. 次のいずれかの手順を実行します (既に、静的分析に AppScan on Cloud を使用している場合は、この手順をスキップしてください)。
    1. AppScan on Cloud サブスクリプションがない場合は、https://cloud.appscan.com/AsoCUI/serviceui/home にアクセスしてサインインします。サブスクリプションがない場合は、リンクを使用して HCL ID を作成します。その後、無料試用版の登録を行うか、サービスにあるリンクを使用して有料のサブスクリプションを契約します。
    2. AppScan on Cloud サービスで、アプリケーションを作成し、「スキャンの作成」をクリックします。
    3. 「今日はどのタイプのアプリをスキャンしますか?」画面で、「デスクトップ」または「Web」 > 「Static」を選択します。
    4. これまでに Static Analyzer コマンド行ユーティリティー をダウンロードしてセットアップしていない場合は、この時点でそれを実行します。詳細については、Static Analyzer コマンド行ユーティリティーのセットアップを参照してください。
  2. AppScan Source 製品または任意のツールで評価 (.ozasmt ファイル) を生成します。バージョン 9.0 以上がサポートされます。
  3. Static Analyzer コマンド行ユーティリティー のコマンド行インターフェース (CLI) を使用して、評価 (.ozasmt ファイル) の中間表現 (IRX または .irx) ファイルを生成します。
    1. Static Analyzer コマンド行ユーティリティーをローカル・ドライブに抽出した後で、その \bin ディレクトリーの場所を PATH 環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、\bin ディレクトリーを使用してすべての Static Analyzer コマンド行ユーティリティー CLI コマンドを修飾しなければならなくなります。詳細については、コマンド行インターフェース (CLI) を使用した IRX ファイルの生成を参照してください。
    2. Windows では、次のコマンドを発行します。 
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      また Linux と macOS では、次のコマンドを発行します。

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
      コマンド引数はオプションです。
      • -d: -d <save_path> と指定します。<save_path> には IRX ファイルの保存先ディレクトリーが入ります。
      • -f: -f <assessment_file> と指定します。<assessment_file> には、スキャン用にパッケージ化する .ozasmt ファイルが入ります。現行ディレクトリーに <assessment_file> ファイルがない場合は、このオプションを使用して評価ファイルのパスとファイル名を指定します。
        注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
        • コマンドを発行するディレクトリーに複数のアセスメント・ファイルが含まれている。ディレクトリーに含まれている評価ファイルが 1 つのみであれば、-f オプションが使用されていない場合は、そのファイルがパッケージされます。
        • コマンドを発行するディレクトリーにアセスメント・ファイルが 1 つも含まれていない。この場合は、-f オプションを使用して、パッケージする評価ファイルのパスおよびファイル名を指定する必要があります。
      • -n: -n <file_name> と指定します。<file_name> には IRX ファイルの名前が入ります。ファイル名を指定する際に、ファイル拡張子 .irx は付けても付けなくてもかまいません。ファイル拡張子なしで指定すると、ファイル生成時に自動的に拡張子が付けられます。

      使用例など、このコマンドに関する追加情報については、「構成コマンド (Windows)」または「構成コマンド (Linux と macOS)」を参照してください。

  4. CLI appscan queue_analysis (Windows) または appscan.sh queue_analysis (Linux と macOS) コマンドを使用して IRX ファイルをアップロードします。
    1. CLI からサービスにログインします。ログイン方法は、HCL Cloud Marketplace では異なります。CLI でのサービスへの認証について詳しくは、「認証コマンド (Windows)」または「 認証コマンド (Linux と macOS)」を参照してください。
      • HCL Cloud Marketplace:
        Windows では、次のコマンドを発行します。
        appscan api_login -P <password> -u <user_name> -persist
        また Linux と macOS では、次のコマンドを発行します。
        appscan.sh api_login -P <password> -u <user_name> -persist

        これらの引数は必須です。

        • -P: -P <password> と指定します。<password> には、ASoC サービスへの登録時に指定したパスワードが入ります。
        • -u: -u <user_name> と指定します。<user_name> には、ASoC サービスへの登録時に指定した E メール・アドレスが入ります。

        この引数はオプションです。

        • -persist: ログイン・トークン・ファイルの有効期限が切れたときに、自動的にサービスへの再認証を試みます。
    2. appscan queue_analysis (Windows) または appscan.sh queue_analysis (Linux と macOS) コマンドを使用して、IRX ファイルをアップロードします。
      • Windows では、次のコマンドを発行します。
        appscan queue_analysis -a <app_id> -f <file> -n <scan_name>

        また Linux と macOS では、次のコマンドを発行します。

        appscan.sh queue_analysis -a <app_id> -f <file> -n <scan_name>

        これらの引数は必須です。

        • -f: -f <file> と指定します。<file> は、スキャン用に送信する IRX ファイル、または非 IRX です。ファイルが現行ディレクトリーにない場合、このオプションを使用して ファイル・パスおよびファイル名を指定します。
          注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
          • 複数のアセスメント・ファイルが含まれているディレクトリーから、コマンドが発行されています。ディレクトリーに含まれているターゲット・ファイルが 1 つのみで、-f オプションが使用されていない場合は、そのファイルが送信されます。
          • ターゲット・ファイルが 1 つも含まれていないディレクトリーから、コマンドが発行されています。この場合、-f オプションを使用して、送信するファイルのパスとファイル名を指定する必要があります。
        • -a: 分析用に送信するファイル (IRX ファイルまたは非 IRX ファイル) は、既存の AppScan on Cloud アプリケーションに関連付けられている必要があります。このオプションを使用する場合は、-a <app_id> と指定します。<app_id> には、関連付けるアプリケーションの ID が入ります。ID を確認するには、list_apps コマンドを使用します。
      • コマンドが完了すると、分析ジョブの ID が表示されます。AppScan on Cloud 分析レポートを受け取るために CLI を使用する場合は、このジョブ ID を appscan get_result (Windows) または appscan.sh get_result (Linux と macOS) コマンドに含める必要があります。この ID をメモしておいてください。CLI を使用して分析レポートを受け取る場合は、AppScan Source で分析レポートを開くことができるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートを表示するだけでかまわない場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードできます。

      このコマンドの使用方法について詳しくは、「分析コマンド (Windows)」または「分析コマンド (Linux と macOS)」を参照してください。

  5. 分析が完了すると、CLI を使用して IRX をアップロードした場合、または AppScan on Cloud Web クライアントで「スキャン完了時に E メールを受け取る」チェック・ボックスを選択した場合は、E メールが送られてきます。
  6. 分析レポートを取得する方法を選択します。CLI appscan get_result (Windows) または appscan.sh get_result (Linux と macOS) コマンド、あるいは AppScan on Cloud Web クライアントを使用できます。CLI を使用して分析レポートを受け取る場合は、AppScan Source で分析レポートを開くことができるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートを表示するだけでかまわない場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードできます。
  7. CLI appscan get_result (Windows) または appscan.sh get_result (Linux と macOS) コマンドを使用して分析レポートを取得する場合は、次の手順を実行します。
    1. CLI からサービスにログインしていることを確認します。
    2. Windows では、次のコマンドを発行します。 
      appscan get_result -d <file_path> -i <job_id> -t <type>

      また Linux と macOS では、次のコマンドを発行します。

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      この引数は必須です。

      • -i: -i <job_id> と指定します。<job_id> には分析ジョブの ID が入ります。
      注: appscan queue_analysis (Windows) または appscan.sh queue_analysis (Linux と macOS) コマンドの発行時に ID をメモしなかった場合は、appscan list (Windows) または appscan.sh list (Linux と macOS) コマンドを使用すると、すべての分析ジョブのリストを表示できます。詳しくは、「分析コマンド (Windows)」または「分析コマンド (Linux と macOS)」を参照してください。

      これらの引数はオプションです。

      • -d: -d <file_path> と指定します。<file_path> には、宛先ファイルの完全修飾パスまたはファイル名が入ります。ファイル名が指定されていない場合、ファイル名はスキャン・ジョブ名に基づいた名前になります。パスを指定しない場合、ファイルは現在のディレクトリーに保存されます。このオプションが組み込まれていない場合、ファイルは、スキャン・ジョブ名に基づいたファイル名で現行ディレクトリーに保存されます。
      • -t: -t <type> と指定します。<type> には、html または zip が入ります。結果は HTML ファイルとして、または、HTML 結果を含む .zip ファイルとして保存されます。このオプションが組み込まれていない場合、結果は HTML ファイルとして保存されます。

        スキャン結果が package コマンドによって生成された IRX ファイル用のものである場合は、-t zip と指定すると、AppScan バージョン 9.0 以降の製品にロードできる新規の .ozasmt ファイルを含む結果が保存されます。

      このコマンドの使用方法について詳しくは、「結果コマンド (Windows)」または「結果コマンド (Linux と macOS)」を参照してください。

  8. HTML レポートを表示するだけで十分な場合は、レポートのダウンロードに AppScan on Cloud Web クライアントを使用できます。Web クライアントを使用して分析レポートを取得する場合は、次の手順を実行します。

    サービスにログインすると、スキャンのリストが自動的に表示されます (サービスの別のセクションにナビゲートされた場合は、右上部にある X アイコンをクリックすると、スキャンのリストに戻ります)。スキャン・リストでスキャンを見つけ、「ダウンロード」アイコンを選択して、XML 形式または HTML 形式を選択します。

    HCL Cloud Marketplace での AppScan on Cloud スキャン結果について詳しくは、「結果」を参照してください。