HCL Cloud Marketplace で HCL AppScan on Cloud をサブスクリプションを所有している場合、AppScan® ソース 評価結果をそこに送信して分析できます。AppScan ソース バージョン 9.0 以上からの評価がサポートされます。送信できるスキャンの数は、 AppScan on Cloud サブスクリプションによって異なります。
このタスクについて
AppScan on Cloud サービスの静的分析機能を使用する場合、Intelligent Finding Analytics (IFA) を使用するセキュリティー分析レポートを生成できます。IFA は、誤検出をフィルタリングで除外し、特定のコード・ポイントで修正できる検出結果をグループ化するという方法でトリアージ作業の大部分を自動的に処理することを特徴とした、強力な機械学習テクノロジーです。IFA について詳しくは、この記事を参照してください。
AppScan ソース バージョン 9.0 以上を使用しており、 AppScan on Cloud サブスクリプションがある場合、AppScan ソース 評価を AppScan on Cloud にアップロードすることで、このテクノロジーの恩恵を受けることができます。その応答として、このテクノロジーよって自動的にトリアージされた新しい評価を受け取ります。この評価は、HTML レポートの形式、またはご使用の AppScan ソース 製品で開くことができる評価の形式で受け取ることができます。
AppScan on Cloud サブスクリプションがある場合、月ごとのスキャン数が制限される可能性があります。スキャンおよび同時スキャンのライセンスについて詳しくは、https://help.hcltechsw.com/appscan/ASoC/src_managing_assessments_cloud.html を参照してください。
注: 無料試用版の AppScan on Cloud を使用して AppScan ソース 評価をスキャンしている場合、IFA によってトリアージされた AppScan ソース 評価ファイルに加えて、フル HTML レポートをダウンロードすることができます。その他のすべてのスキャン・タイプについては、無料試用版を使用している場合は、要約レポートのみをダウンロードすることができます。
手順
-
既に 静的分析 に AppScan on Cloud を使用している場合は、このステップをスキップしてください。
-
AppScan on Cloud サブスクリプションがない場合は、https://cloud.appscan.com/AsoCUI/serviceui/home に移動し、HCL ID でログインします。HCL ID がない場合は、リンクを使用して作成してください。その後、無料試用版の登録を行うか、サービスにあるリンクを使用して有料のサブスクリプションを契約します。
-
HCL Cloud Marketplace のみ: AppScan on Cloud サービスで、アプリを作成し (https://help.hcltechsw.com/appscan/ASoC/ent_create_application.html を参照)、「スキャンの作成」をクリックします。
-
「今日はどのタイプのアプリをスキャンしますか?」画面で、「デスクトップ」またはを選択します。
-
これまでに Static Analyzer Client Utilityをダウンロードしてセットアップしていない場合は、この時点でそれを実行します。詳細については、https://help.hcltechsw.com/appscan/ASoC/src_utility_install.htmlを参照してください。
-
AppScan ソース 製品または任意のツールで評価 (.ozasmt ファイル) を生成します。バージョン 9.0 以上がサポートされます。
-
クライアント・ユーティリティー のコマンド行インターフェース (CLI) を使用して、評価の 中間表現 (IRX または .irx) ファイルを生成します (評価ファイルは.ozasmt ファイルです)。
-
クライアント・ユーティリティー をローカル・ドライブに抽出した後で、その \bin ディレクトリーの場所を
PATH
環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、\bin ディレクトリーを使用してすべての クライアント・ユーティリティー CLI コマンドを修飾することが必要になります。詳細については、https://help.hcltechsw.com/appscan/ASoC/src_irx_gen_cli.htmlを参照してください。
-
Windows では、次のコマンドを発行します。
appscan package -d <save_path> -f <assessment_file> -n <file_name>
Linux では、次のコマンドを発行します。
appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>
コマンド引数はオプションです。
-d
:-d <save_path>
を指定します。<save_path>
には IRX ファイルの保存先ディレクトリーが入ります。
-f
:-f <assessment_file>
を指定します。<assessment_file>
にはスキャンするために送信する .ozasmt ファイルが入ります。現行ディレクトリーに <assessment_file>
ファイルがない場合は、このオプションを使用してアセスメント・ファイルのパスとファイル名を指定します。 注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
- コマンドを発行するディレクトリーに複数のアセスメント・ファイルが含まれている。ディレクトリーに含まれているアセスメント・ファイルが 1 つのみであれば、
-f
オプションが使用されていない場合はそのファイルがパッケージされます。
- コマンドを発行するディレクトリーにアセスメント・ファイルが 1 つも含まれていない。この場合、
-f
オプションを使用して、パッケージするアセスメント・ファイルのパスおよびファイル名を指定する必要があります。
-n
:-n <file_name>
を指定します。<file_name>
には IRXファイルの名前が入ります。このファイル名は、ファイル拡張子 .irx を付けて指定することも、拡張子なしで指定することもできます。ファイル拡張子なしで指定すると、ファイル生成時に自動的に拡張子が付けられます。
package
コマンドに関する追加情報 (使用例を含む) は、構成コマンド (Windows) または構成コマンド (Linux) を参照してください。
-
CLI
queue_analysis
コマンドを使用し、IRX ファイルをアップロードします。
-
CLI からサービスにログインします。CLI でのサービスに対する認証について詳しくは、認証コマンド (Windows) または認証コマンド (Linux) を参照してください。
-
queue_analysis
コマンドを使用して、IRX ファイルをアップロードします。
-
分析が完了すると、CLI を使用して IRX をアップロードした場合、または AppScan on Cloud Web クライアントで「スキャン完了時に E メールを受け取る」チェック・ボックスを選択した場合は、E メールが送られてきます。
-
分析レポートを取得する方法を選択します。CLI
get_result
コマンドを使用できます。または、 AppScan on Cloud Web クライアントを使用できます。CLI を使用して分析レポートを受け取る場合、AppScan ソース で分析レポートが開けるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートを表示するだけで構わない場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードすることができます。
-
CLI
get_result
コマンドを使用して分析レポートを取得する場合は、次のステップを実行します。
-
CLI からサービスにログインしていることを確認します。
-
Windows では、次のコマンドを発行します。
appscan get_result -d <file_path> -i <job_id> -t <type>
Linux では、次のコマンドを発行します。
appscan.sh get_result -d <file_path> -i <job_id> -t <type>
この引数は必須です。
-i
:-i <job_id>
を指定します。<job_id>
には分析ジョブの ID が入ります。
これらの引数はオプションです。
get_result
コマンドの使用について詳しくは、結果コマンド (Windows) または結果コマンド (Linux) を参照してください。
-
Web クライアントを使用して分析レポートを取得する場合は、次のステップを実行します。HTML レポートを表示するだけで構わない場合は、 AppScan on Cloud Web クライアントを使用してレポートをダウンロードできます。