使用 AppScan Go! 配置扫描
AppScan Go! 将引导您配置和运行静态扫描。您可以在云端运行扫描,或者使用插件执行自动扫描。
开始之前
要使用 AppScan Go!,请下载并将其安装到本地系统:
- 在 AppScan on Cloud 中,单击创建扫描以打开向导,然后单击 SAST。
- 选择要为其下载实用程序的平台(Windows、Mac 或 Linux),然后单击下载。
- 解压缩文件并将该实用程序安装到本地系统。
注: 如果您正在将 Linux 上安装的现有 AppScan Go! 更新到较新版本,请使用
-U 选项运行安装。关于此任务
过程
-
在您的本地系统中,启动 AppScan Go!
您不必登录到 AppScan on Cloud 服务即可开始设置扫描。您确实需要登录才能完成扫描。
-
选择扫描方法:
- 运行完整扫描。
- 创建 IRX 文件并稍后运行扫描。
- 创建用于自动执行扫描的配置文件。
-
指定要扫描的文件的位置以及扫描模式和类型,然后单击下一步。
-
浏览到包含要扫描文件的文件夹,然后单击选择文件夹。AppScan Go! 允许您仅选择文件夹。
-
浏览到包含要扫描文件的文件夹,然后单击选择文件夹。AppScan Go! 允许您仅选择文件夹。
-
AppScan Go! 从选定的文件夹中检索适当的文件并列出它们以供查看。查看、选择或取消选择文件,然后单击下一步。
-
如果您选择运行完整扫描或准备 IRX 文件,请配置扫描设置,然后单击下一步。
注: 您必须登录到 AppScan on Cloud 才能查看可用应用程序的列表。
设置 描述 扫描名称 指定扫描名称或接受 AppScan on Cloud 创建的缺省名称。 关联应用程序 运行完整扫描时,选择要与扫描关联的应用程序。 扫描速度选项(仅 SAST) 根据需要和时间需求,选择正常、快速、更快或最快扫描。请注意,扫描速度不是 SCA/开源扫描的可配置选项。 normal扫描执行全面分析以识别最详细的漏洞列表,并且完成所需时间最长。fast扫描会对您的文件执行更全面的分析以识别漏洞,通常需要更长的时间才能完成。faster扫描提供有关安全问题的分析和识别的中等详细程度,并且完成所需时间比“最快速”扫描略长。fastest扫描会对您的文件执行表面级别的分析,以找出最紧急的问题进行补救。完成所需的时间最少。注: 扫描速度不一定与代码中发现的相对数量的漏洞相关。例如,normal分析可能会排除fastest扫描中可能会报告的误报,从而报告更少数量的漏洞。
扫描首选项 运行完整扫描时,指定扫描首选项: - 作为个人扫描运行:指示是否将扫描保留为私有且不包括在 Umbrella 项目数据中。
- 当结果准备就绪时,请通过电子邮件通知我:指示扫描完成后是否通过电子邮件发送。这对于常规扫描特别有用。
-
如果您选择运行完整扫描,AppScan Go! 会收集目录及其所有子目录中所有受支持文件的信息,然后在
<user_home>/.appscan/temp目录中创建 IRX 文件。然后 AppScan Go! 会将生成的 IRX 文件上载到 AppScan on Cloud 服务中。完成扫描上载后,单击完成。
-
如果您选择创建 IRX 文件,AppScan Go! 会收集目录及其所有子目录中所有受支持文件的信息,然后在
<user_home>/.appscan/temp目录中创建 IRX 文件。文件生成完成后,单击完成。
-
如果您选择创建用于自动执行扫描的配置文件,AppScan on Cloud 会将扫描配置文件 (appscan-config.xml) 保存到包含要扫描的文件的文件夹中。单击完成退出 AppScan Go!
您可以在此时退出实用程序并在以后再次继续运行,登录到 AppScan on Cloud 服务并立即配置和运行扫描,或者使用配置文件利用列出的其中一个插件自动执行扫描。注: 有关如何使用配置文件的更多信息,请参阅使用 CLI 配置 IRX 文件生成。 -
打开 AppScan on Cloud 以查看扫描的状态或结果,或使用 AppScan Go! 生成的 IRX 文件开始扫描
