HCL AppScan Source 评估提交到云以进行分析

如果订阅了 HCL AppScan on Cloud,可在此处提交 AppScan Source 评估以进行分析。支持从 AppScan Source V9.0 或更高版本评估。您可以提交的扫描次数取决于您的 ASoC 订阅。

关于此任务

使用 AppScan on Cloud 服务的静态分析功能时,可生成使用 Intelligent Finding Analytics (IFA) 的安全性分析报告。IFA 是一种功能强大的机器学习技术,通过过滤出误报结果并对可由一个代码点中的修订修复的结果分组来执行大多数分类工作。要了解关于 IFFA 的更多信息,请参阅此文章

如果使用 AppScan Source V9.0 或更高版本并且具有 AppScan on Cloud 订阅,则可通过将 AppScan Source 评估上载到 AppScan on Cloud 来利用此技术。作为回报,您将接收到已通过 IFA 自动进行分类的新评估。此评估可以是 HTML 报告的形式,或者评估可在 AppScan Source 产品中打开。

  • 如果您有付费的 AppScan on Cloud 订阅,则可以扫描 10 个额外的 AppScan Source 评估。例如,如果您的订阅包含 20 个 AppScan on Cloud 扫描,则还可以扫描额外 10 个 AppScan Source 评估,也就是总共 30 个扫描。并发扫描限制(如果您的订阅中所述)包含了扫描 AppScan Source 评估。例如,如果您的订阅允许您同时进行 2 个扫描,则将包含 AppScan Source 评估的扫描。
  • 如果您有试用版的 AppScan on Cloud 订阅,则 AppScan Source 评估的扫描将计入允许的总扫描次数中。
注: 如果通过 AppScan on Cloud 的免费试用版本扫描 AppScan Source 评估,则除了已通过 IFA 分类的 AppScan Source 评估文件之外,可下载完整 HTML 报告。对于所有其他扫描类型,仅可在具有免费试用时下载摘要报告。

过程

  1. 执行以下一个步骤(如果已在使用 AppScan on Cloud 进行静态分析,请跳过此步骤):
    1. 如果您没有 AppScan on Cloud 订阅,请转到 https://cloud.appscan.com/AsoCUI/serviceui/home 并登录。如果您没有订阅,请使用链接创建 HCL 标识。然后,使用服务中提供的链接来注册免费使用版本或收费订阅。
    2. AppScan on Cloud 服务中,创建应用程序,然后单击创建扫描
    3. 您今天要扫描什么类型的应用程序?屏幕中,选择桌面Web > 静态
    4. 如果先前未下载和设置 Static Analyzer Command Line Utility,请现在执行这些操作。有关更多信息,请参阅设置 Static Analyzer Command Line Utility
  2. AppScan Source 产品或所选择的工具中生成评估(.ozasmt 文件)。支持 V9.0 或更高版本。
  3. 使用 Static Analyzer Command Line Utility 命令行界面 (CLI) 生成中间表示IRX.irx)文件来进行评估(.ozasmt 文件):
    1. Static Analyzer Command Line Utility 抽取到本地磁盘后,将 \bin 目录的位置添加到 PATH 环境变量。如果不执行此操作,则每次发出命令时,都将使用 \bin 目录来限定所有 Static Analyzer Command Line Utility CLI 命令。有关更多信息,请参阅使用命令行界面 (CLI) 生成 IRX 文件
    2. Windows 上发出以下命令: 
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      或在 Linux 和 macOS 上发出以下命令:

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
      命令参数是可选的:
      • -d:指定 -d <save_path>,其中 <save_path> 是用于保存 IRX 文件的目录。
      • -f:指定 -f <assessment_file>,其中 <assessment_file> 是您希望打包以进行扫描的 .ozasmt 文件。如果 <assessment_file> 文件不在当前目录中,请使用此选项指定评估文件路径和文件名。
        注: 仅当以下一个或两个语句都满足时,才需要该选项:
        • 您是从包含多个评估文件的目录发出的命令。如果该目录仅包含一个评估文件,则未使用 -f 选项时将对该文件打包。
        • 您是从不包含评估文件的目录发出的命令。在此情况下,必须使用 -f 选项来指定要打包的评估文件的路径和文件名。
      • -n:指定 -n <file_name>,其中 <file_name>IRX 文件名。您可以指定带有或不带有 .irx 文件扩展名的文件名。如果指定不带有扩展名的文件名,生成文件时将自动添加扩展名。

      有关此命令的其他信息(包括用法示例),请参阅 配置命令 (Windows)配置命令 Linux 和 macOS

  4. 使用 CLI appscan queue_analysis (Windows)appscan.sh queue_analysis Linux 和 macOS 命令来上载 IRX 文件:
    1. 从 CLI 登录服务。在 HCL Cloud Marketplace 中,用于执行此项操作的方法有所不同。有关在 CLI 中认证到服务的详细信息,请参阅 认证命令 (Windows) 认证命令Linux 和 macOS
      • HCL Cloud Marketplace
        Windows 上发出以下命令:
        appscan api_login -P <password> -u <user_name> -persist
        或在 Linux 和 macOS 上发出以下命令:
        appscan.sh api_login -P <password> -u <user_name> -persist

        需要以下参数:

        • -P:指定 -P <password>,其中 <password> 是注册 ASoC 服务时指定的密码。
        • -u:指定 -u <user_name>,其中 <user_name> 是注册 ASoC 服务时指定的电子邮件地址。

        该参数是可选的:

        • -persist:在登录令牌文件过期后自动尝试重新向服务认证。
    2. 使用 appscan queue_analysis (Windows)appscan.sh queue_analysis Linux 和 macOS 命令上载 IRX 文件:
      • Windows 上发出以下命令:
        appscan queue_analysis -a <app_id> -f <file> -n <scan_name>

        或在 Linux 和 macOS 上发出以下命令:

        appscan.sh queue_analysis -a <app_id> -f <file> -n <scan_name>

        需要以下参数:

        • -f:指定 -f <file>,其中 <file> 是您希望提交以进行扫描的 IRX 文件或非 IRX 存档。如果文件不在当前目录中,请使用此选项指定文件路径和文件名。
          注: 仅当以下一个或两个语句都满足时,才需要该选项:
          • 您是从包含多个目标文件的目录发出的命令。如果目录仅包含一个目标文件,则在未使用 -f 选项的情况下将提交此文件。
          • 您是从不包含目标文件的目录发出的命令。在此情况下,必须使用 -f 选项指定要提交的文件的路径和文件名。
        • -a:您提交进行分析的文件(IRX 文件或非 IRX 存档)必须与现有 AppScan on Cloud 应用程序关联。使用此选项,指定 -a <app_id>,其中 <app_id> 是要关联的应用程序的标识。要确定标识,请使用 list_apps 命令。
      • 命令完成时,将显示分析作业的标识。如果要使用 CLI 接收 AppScan on Cloud 分析报告,将需要在 appscan get_result (Windows)appscan.sh get_result Linux 和 macOS 命令中包含此作业标识,并应记下标识如果使用 CLI 来接收分析报告,将可选择接收其中包含 ..ozasmt 文件的存档 (.zip) 文件,以便分析报告可在 AppScan Source 中打开。如果只是希望看到 HTML 报告,可使用 CLI 或 AppScan on Cloud Web 客户机来下载报告。

      有关使用该命令的详细信息,请参阅 分析命令 (Windows)分析命令 Linux 和 macOS

  5. 分析完成后,如果使用 CLI 上载了 IRX 或者如果在 AppScan on Cloud Web 客户机中选中了扫描完成后向我发送电子邮件复选框,将收到电子邮件。
  6. 选择用于检索分析报告的方法。可使用 CLI appscan get_result (Windows)appscan.sh get_result Linux 和 macOS 命令,或者可使用 AppScan on Cloud Web 客户机。如果使用 CLI 来接收分析报告,将可选择接收其中包含 ..ozasmt 文件的存档 (.zip) 文件,以便分析报告可在 AppScan Source 中打开。如果只是希望看到 HTML 报告,可使用 CLI 或 AppScan on Cloud Web 客户机来下载报告。
  7. 如果想要使用 CLI appscan get_result (Windows)appscan.sh get_result Linux 和 macOS 命令来检索分析报告,请完成此步骤:
    1. 确保您已从 CLI 登录到服务。
    2. Windows 上发出以下命令: 
      appscan get_result -d <file_path> -i <job_id> -t <type>

      或在 Linux 和 macOS 上发出以下命令:

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      该参数是必需的:

      • -i:指定 -i <job_id>,其中 <job_id> 是分析作业的标识。
      注: 如果发出 appscan queue_analysis (Windows)appscan.sh queue_analysis Linux 和 macOS 命令时没有记下标识,则可使用 appscan list (Windows)appscan.sh list Linux 和 macOS 命令来查看所有分析作业的列表。有关更多信息,请参阅 分析命令 (Windows)分析命令 Linux 和 macOS

      以下参数是可选的:

      • -d:指定 -d <file_path>,其中 <file_path> 是目标文件的标准路径和/或目标文件的文件名。如果未指定文件名,则文件名将基于扫描作业名。如果未指定路径,则文件将保存到当前目录。如果未包含该选项,则文件将以基于扫描作业名的文件名保存到当前目录。
      • -t:指定 -t <type>,其中 <type>htmlzip。结果将另存为 HTML 文件或包含 HTML 结果的 .zip 文件。如果未包含该选项,结果将另存为 HTML 文件。

        如果扫描结果是针对 package 命令所生成的 IRX 文件,则指定 -t zip 会保存包含新 .ozasmt 文件的结果,该文件可以装入到 AppScan V9.0 或更高产品版本中。

      有关使用该命令的详细信息,请参阅 结果命令 (Windows)结果命令 Linux 和 macOS

  8. 如果只是希望看到 HTML 报告,可使用 AppScan on Cloud Web 客户机来下载报告。如果想要使用 Web 客户机来检索分析报告,请完成此步骤:

    登录服务之后,应自动看到扫描的列表(如果已导航至服务的另一个部分,单击右上角的 X 图标以返回到扫描的列表)。在扫描列表中,找到扫描并选择下载图标,然后选择 XML 或 HTML 格式。

    要详细了解 HCL Cloud Marketplace 上的 AppScan on Cloud 扫描结果,请参阅 结果