提交 HCL AppScan Source 評量至 Cloud 進行分析

如果您有 HCL AppScan on Cloud 訂閱,您可以提交 AppScan Source 評量以進行分析。支援 AppScan Source 9.0 版或更新版本的評量。您可以提交的掃描數量取決於您的 ASoC 訂閱。

執行這項作業的原因和時機

當您使用 AppScan on Cloud 服務的靜態分析功能時,您可以產生使用「智慧型發現項目分析 (IFA)」的安全分析報告。IFA 是功能強大的機器學習技術,除其他功能外,還可透過過濾誤判,以及分組可在單一程式碼位置修正補救的發現項目,從而為您執行許多的分類工作。如果要進一步瞭解 IFA,請參閱這篇文章

如果您使用 AppScan Source 9.0 版或更新版本,而且有 AppScan on Cloud 訂閱,您可以將 AppScan Source 評量上傳到 AppScan on Cloud 來獲得這項技術的好處。然後,你會收到由 IFA 自動分類的新評量。這個評量可能是 HTML 報告或是可以在 AppScan Source 產品中開啟的評量。

  • 如果您擁有付費的 AppScan on Cloud 訂閱,則可以掃描另外 10 個 AppScan Source 評量。比方說,如果您的訂閱包含 20 個 AppScan on Cloud 掃描,則可以掃描另外 10 個 AppScan Source 評量,總計為 30 個掃描。並行掃描限制(如訂閱中所概述)包含 AppScan Source 評量的掃描。比方說,如果您的訂閱容許同時有 2 個掃描,則會包含 AppScan Source 評量的掃描。
  • 如果您擁有試用的 AppScan on Cloud 訂閱,則 AppScan Source 評量的掃描計入容許的掃描總數內。
註: 如果您使用免費試用的 AppScan on Cloud 來掃描 AppScan Source 評量,除了 IFA 所分類的 AppScan Source 評量檔之外,您還可以下載完整的 HTML 報告。對於所有其他掃描類型,如果是免費試用,則只能下載摘要報告。

程序

  1. 執行下列其中一個步驟(如果您已經使用 AppScan on Cloud 以進行靜態分析,請略過此步驟):
    1. 如果您沒有 AppScan on Cloud 訂閱,請移至 https://cloud.appscan.com/AsoCUI/serviceui/home 並登入。如果您沒有訂閱,請使用連結來建立 HCL ID。然後使用位在服務的連結來註冊免費試用或付費訂閱。
    2. AppScan on Cloud 服務中,建立應用程式,然後按一下建立掃描
    3. 今天掃描的應用程式類型?畫面中,選取桌面Web > 靜態
    4. 如果您先前未下載和設定 Static Analyzer 指令行公用程式,請現在進行。如需相關資訊,請參閱設定 Static Analyzer 指令行公用程式
  2. AppScan Source 產品或您選擇的工具中產生評量(.ozasmt 檔)。支援 9.0 版或更新版本。
  3. 使用 Static Analyzer 指令行公用程式 指令行介面 (CLI) 來產生評量(.ozasmt 檔)的中間表示法IRX.irx)檔:
    1. Static Analyzer 指令行公用程式 解壓縮到本端磁碟機之後,請將其 \bin 目錄的位置新增到 PATH 環境變數。否則,每次發出指令時,您都需要使用 \bin 目錄來限定所有的 Static Analyzer 指令行公用程式 CLI 指令。如需相關資訊,請參閱使用指令行介面 (CLI) 產生 IRX 檔案
    2. Windows 上發出此指令: 
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      或在 Linux 及 macOS 上發出此指令:

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
      指令引數是選用的:
      • -d:指定 -d <save_path>,其中 <save_path> 是您想要儲存 IRX 檔案的目錄。
      • -f:指定 -f <assessment_file>,其中 <assessment_file> 是您要包裝以進行掃描的 .ozasmt 檔案。如果 <assessment_file> 檔案不在現行目錄中,請使用此選項來指定評量檔案路徑及檔名。
        註: 只有在符合下列其中一個或兩個陳述式時,才需要此選項:
        • 當您從包含多個評量檔的目錄中發出指令。如果目錄只包含一個評量檔,則未使用 -f 選項時,將會包裝該檔案。
        • 當您從未包含評量檔的目錄中發出指令。在此情況下,必須使用 -f 選項來指定要包裝的評量檔所在路徑及檔名。
      • -n:指定 -n <file_name>,其中 <file_name>IRX 檔名。指定檔名時不一定要有 .irx 副檔名。如果您指定的檔案名稱沒有副檔名,系統會在產生檔案時自動為您新增副檔名。

      配置指令 (Windows)配置指令 Linux 及 macOS 中,會提供此指令的其他相關資訊,包括使用範例。

  4. 使用 CLI appscan queue_analysis (Windows)appscan.sh queue_analysis Linux 及 macOS 指令來上傳 IRX 檔案:
    1. 從 CLI 登入服務。執行此操作的方法與在 HCL Cloud Marketplace 不同。在 鑑別指令 (Windows) 鑑別指令Linux 及 macOS 中,會提供在 CLI 對服務進行鑑別的相關詳細資訊。
      • HCL Cloud Marketplace
        Windows 上發出此指令:
        appscan api_login -P <password> -u <user_name> -persist
        或在 Linux 及 macOS 上發出此指令:
        appscan.sh api_login -P <password> -u <user_name> -persist

        這些引數是必要的:

        • -P:指定 -P <password>,其中 <password> 是您登錄 ASoC 服務時指定的密碼。
        • -u:指定 -u <user_name>,其中 <user_name> 是您登錄 ASoC 服務時指定的電子郵件位址。

        此引數是選用的:

        • -persist:在登入記號檔到期時,自動嘗試重新接受服務的鑑別。
    2. 使用 appscan queue_analysis (Windows)appscan.sh queue_analysis Linux 及 macOS指令來上傳 IRX 檔案:
      • Windows 上發出此指令:
        appscan queue_analysis -a <app_id> -f <file> -n <scan_name>

        或在 Linux 及 macOS 上發出此指令:

        appscan.sh queue_analysis -a <app_id> -f <file> -n <scan_name>

        這些引數是必要的:

        • -f:指定 -f <file>,其中 <file> 是您要提交以進行掃描的 IRX 檔案或非 IRX 封存。如果檔案不在現行目錄中,請使用此選項來指定檔案路徑及檔名。
          註: 只有在符合下列其中一個或兩個陳述式時,才需要此選項:
          • 您是從包含多個目標檔案的目錄中發出指令。如果目錄只包含一個目標檔案,則未使用 -f 選項時,將會提交該檔案。
          • 您是從未包含目標檔案的目錄中發出指令。在此情況下,必須使用 -f 選項來指定要提交的檔案的路徑及檔名。
        • -a:您提交進行分析的檔案(IRX 檔案或非 IRX 封存)必須與現有 AppScan on Cloud 應用程式相關聯。在這個選項中,指定 -a <app_id>,其中 <app_id> 是要產生關聯之應用程式的 ID。如果要判斷 ID,請使用 list_apps 指令。
      • 當指令完成時,將顯示分析工作的 ID。如果您要使用 CLI 來接收 AppScan on Cloud 分析報告,您需要在 appscan get_result (Windows)appscan.sh get_result Linux 及 macOS 指令中併入此工作 ID - 您應記下此 ID如果您使用 CLI 來接收分析報告,您可以選擇接收包含 .ozasmt 檔的封存 (.zip),就能在 AppScan Source 中開啟分析報告。如果只有興趣查看 HTML 報告,您可以使用 CLI 或 AppScan on Cloud Web 用戶端來下載報告。

      分析指令 (Windows)分析指令 Linux 及 macOS 中會提供使用此指令的相關詳細資料。

  5. 如果您使用 CLI 來上傳 IRX,或在 AppScan on Cloud Web 用戶端中選取掃描完成時以電子郵件通知我勾選框,當掃描完成時,您會收到電子郵件。
  6. 選擇擷取分析報告的方法。您可以使用 CLI appscan get_result (Windows)appscan.sh get_result Linux 及 macOS 指令 - 或是可以使用 AppScan on Cloud Web 用戶端。如果您使用 CLI 來接收分析報告,您可以選擇接收包含 .ozasmt 檔的封存 (.zip),就能在 AppScan Source 中開啟分析報告。如果只有興趣查看 HTML 報告,您可以使用 CLI 或 AppScan on Cloud Web 用戶端來下載報告。
  7. 如果您要使用 CLI appscan get_result (Windows)appscan.sh get_result Linux 及 macOS 指令來擷取分析報告,請完成此步驟:
    1. 請確定您已從 CLI 登入服務。
    2. Windows 上發出此指令: 
      appscan get_result -d <file_path> -i <job_id> -t <type>

      或在 Linux 及 macOS 上發出此指令:

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      此引數是必要的:

      • -i:指定 -i <job_id>,其中 <job_id> 是分析工作的 ID。
      註: 如果在發出 appscan queue_analysis (Windows)appscan.sh queue_analysis Linux 及 macOS 指令時未記下 ID,您可以使用 appscan list (Windows)appscan.sh list Linux 及 macOS 指令來查看所有分析工作的清單。如需相關資訊,請參閱 分析指令 (Windows)分析指令 Linux 及 macOS

      這些引數是選用的:

      • -d:指定 -d <file_path>,其中 <file_path> 是目的地檔案的完整路徑及/或目的地檔案的檔名。如果未指定檔名,則檔名將根據掃描工作名稱。如果未指定路徑,則會將檔案儲存至現行目錄。如果未包括此選項,則會使用根據掃描工作名稱的檔名,將檔案儲存至現行目錄。
      • -t:指定 -t <type>,其中 <type>htmlzip。結果會儲存為 HTML 檔,或儲存為包含 HTML 結果的 .zip 檔案。如果未包括此選項,則會將結果儲存為 HTML 檔案。

        如果掃描結果是針對 package 指令所產生 IRX 檔案,則指定 -t zip 所儲存的結果會包含新的 .ozasmt 檔案,而可供載入 AppScan 9.0 版或更新版本產品中。

      結果指令(Windows)結果指令 Linux 及 macOS 中會提供使用此指令的相關詳細資料。

  8. 如果只有興趣查看 HTML 報告,您可以使用 AppScan on Cloud Web 用戶端來下載報告。如果您要使用 Web 用戶端來擷取分析報告,請完成此步驟:

    當您登入服務時,應該會自動看到您的掃描清單(如果您已導覽至服務的另一個區段,請按一下右上方的 X 圖示以回到掃描清單)。在掃描清單中,找到掃描並選取下載圖示,然後選擇 XML 或 HTML 格式。

    如果要在 HCL Cloud Marketplace 進一步瞭解 AppScan on Cloud 掃描結果,請參閱結果