设置 Static Analyzer Command Line Utility

对于静态分析,下载小型 Command Line Utility。将该实用程序解压缩到本地磁盘时,可以使用其命令行界面 (CLI) 来执行安全性分析。

关于此任务

使用静态分析时,扫描源代码以生成将上载到云的文件。将使用跟踪分析来扫描文件(加密 IRX (.irx) 文件)以查找安全漏洞。
  • 针对编译的语言生成 IRX 文件时,应用程序字节代码文件将转换为代码的中间表示
  • 针对脚本编制语言生成 IRX 文件时,源文件将包含在加密 IRX 文件中。
  • 使用 Eclipse 或 Visual Studio 插件时,将从 IDE 自动生成和上载 IRX 文件。
重要: Command Line Utility 不应该放在包含非 ASCII 字符的目录中。
注: 要使用 AppScan Go! 生成 IRX 文件,请根据 使用 AppScan Go! 配置扫描 中的说明执行操作。

过程

要设置 Command Line Utility
  1. 选择计划运行 Command Line Utility 的平台,然后单击下载。这将下载 SAClientUtil_<version>_<os>.zip 文件(其中,<version>Command Line Utility 的当前版本,<os>Command Line Utility 所适用的操作系统)。
    注: 可再次打开欢迎表单,方法是选择表单中的我如何创建 IRX 文件?来选择 IRX 文件。
  2. 将文件抽取到本地驱动器。
  3. 如果计划将 CLI 用于IRX 文件生成,上载IRX 文件或管理扫描:将抽取的 SAClientUtil_<version>_<os>.zip 文件所在的 \bin 目录位置添加到 PATH 环境变量。如果未执行此操作,则每次发出命令时,都需要使用抽取的 SAClientUtil_<version>_<os>.zip 文件的 \bin 目录来限定所有命令。
    提示: 更改 PATH 后,在命令提示符上发出 appscan version (Windows)appscan.sh version Linux 和 macOS。如果返回了 Static Analyzer Command Line Utility 版本、主目录和其他信息,那么 PATH 已正确设置。

下一步做什么

如果要在代理之后的计算机上运行 Command Line Utility,请使用以下某个用于指定代理的方法,以便 Command Line Utility 可连接到云:

  • Command Line Utility CLI 和受支持集成开发环境 (IDE):设置该全局或系统环境变量,以便可自动识别代理:
    • Windows:APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
    • Linux 和 macOS:APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"

    其中 <proxy> 是代理服务器的主机名,<port> 是代理服务器正在使用的端口号。

    或者,每次使用 CLI 或 IDE(从命令提示符或终端启动)时,可通过发出以下命令将 Command Line Utility 设置为使用代理:

    • Windowsset "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
    • Linux 和 macOS:export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
  • Maven:如果已将静态分析插件添加到 Maven,可全局地将属性添加到 MAVEN_OPTS 环境变量,或者可将属性添加到每个命令。
注: 为了充分利用 AppScan on Cloud 功能,Static Analyzer Command Line Utility 和所有插件必须是最新版本:
  • 会定期发布 Static Analyzer Command Line Utility 更新,并且详细信息会在最近更新中列出。更新可能包括:
    • 新语言支持
    • 更新的语言支持(例如,与受支持语言相关联的新文件类型)
    • 新功能
    • 修复
  • 插件在运行时会自动下载最新版本的 Static Analyzer Command Line Utility
  • 如果尝试使用过时版本的 Static Analyzer Command Line Utility 准备用于扫描的代码,您可能会看到一条消息,指示您将实用程序更新到最新版本。升级至最新版本的 Static Analyzer Command Line Utility,具体取决于您的操作系统WindowsLinuxMac
  • 如果您正在使用 AppScan Go!,请接受并安装最新更新(如果提供了更新)。