Static Analyzer コマンド行ユーティリティーのセットアップ

静的分析を行う場合は、小規模なコマンド行ユーティリティーをダウンロードします。ユーティリティーをローカル・ディスクに解凍すると、コマンド行インターフェース (CLI) を使用してセキュリティー分析を実行できます。

このタスクについて

静的分析を使用するときに、ソース・コードをスキャンしてクラウドにアップロードするファイルを生成します。暗号化された IRX (.irx) ファイルをトレース分析を使用してスキャンし、セキュリティーの脆弱性を検出します。
  • コンパイラー型言語に対応する IRX ファイルが生成されると、アプリケーション・バイト・コード・ファイルはコードの中間表現に変換されます。
  • スクリプト言語に対応する IRX ファイルが生成されると、ソース・ファイルは暗号化された IRX ファイルに含められます。
  • Eclipse または Visual Studio プラグインを使用すると、IRX ファイルの生成とアップロードが IDE から自動的に行われます。
重要: コマンド行ユーティリティー を非 ASCII 文字を含むディレクトリーに保存しないでください。
注: IRX を使用して AppScan Go! ファイルを生成するには、「AppScan Go! を使用したスキャンの構成」の手順に従ってください。

手順

コマンド行ユーティリティー をセットアップするには、次の手順を実行します。
  1. コマンド行ユーティリティー を実行する予定のプラットフォームを選択し、次に「ダウンロード」をクリックします。これにより、SAClientUtil_<version>_<os>.zip ファイルがダウンロードされます (<version> は、最新バージョンのコマンド行ユーティリティー<os> は、コマンド行ユーティリティー用のオペレーティング・システムです)。
    注: フォームでIRX ファイルを作成するには?」を選択してウェルカム・フォームをもう一度開くと、IRX ファイルを選択できます。
  2. ファイルをローカル・ドライブに解凍します。
  3. CLI を使用して IRX ファイルを生成したりIRX ファイルをアップロードしたり、スキャンを管理したりする場合は、抽出された SAClientUtil_<version>_<os>.zip ファイルの \bin ディレクトリーの場所を PATH 環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、抽出された SAClientUtil_<version>_<os>.zip ファイルの \bin ディレクトリーを使用してすべてのコマンドを修飾しなければならなくなります。
    ヒント: PATH の変更後に、コマンド・プロンプトで appscan version (Windows) または appscan.sh version (Linux と macOS) を発行します。Static Analyzer コマンド行ユーティリティーのバージョン、ホーム、およびその他の情報が返された場合は、PATH が正しく設定されています。

次のタスク

プロキシー内にあるコンピューターでコマンド行ユーティリティーを実行している場合は、次のいずれかの方法でプロキシーを指定すると、コマンド行ユーティリティーをクラウドに接続できます。

  • コマンド行ユーティリティー CLI とサポートされている統合開発環境 (IDE): このグローバルまたはシステム環境変数を設定し、プロキシーが自動的に認識されるようにします。
    • Windows: APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
    • Linux と macOS: APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"

    この場合、<proxy> にはプロキシー・サーバーのホスト名が入り、<port> にはプロキシー・サーバーが使用するポート番号が入ります。

    あるいは、CLI または IDE (コマンド・プロンプトまたは端末から起動された) を使用するたびに、次のコマンドを実行して、プロキシーを使用するよう コマンド行ユーティリティー を設定できます。

    • Windows: set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
    • Linux と macOS: export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
  • Maven: 静的分析プラグインを Maven に追加した場合、プロパティーをグローバルに MAVEN_OPTS 環境変数に追加するか、各コマンドにプロパティーを追加することができます。
注: AppScan on Cloud の機能を最大限に活用するには、Static Analyzer コマンド行ユーティリティーおよびすべてのプラグインを最新の状態に保つ必要があります。
  • Static Analyzer コマンド行ユーティリティー の更新は定期的に提供され、詳細は「最新の更新」にリストされます。更新には、以下のものが含まれます。
    • 新しい言語サポート
    • 言語サポートの更新 (サポートされる言語に関連付けられる新しいファイル・タイプなど)
    • 新機能
    • Fixes
  • プラグインの実行時に、最新の Static Analyzer コマンド行ユーティリティー が自動的にダウンロードされます。
  • Static Analyzer コマンド行ユーティリティー の旧バージョンを使用してスキャン用のコードを作成しようとすると、ユーティリティーを最新バージョンに更新するように求めるメッセージが表示される場合があります。使用しているオペレーティング・システム (WindowsLinuxMac) に基づいて、最新の Static Analyzer コマンド行ユーティリティーにアップグレードします。
  • AppScan Go! を使用していて、更新が提供されている場合は、最新の更新を受け入れてインストールします。