分析のためのクラウドへの AppScan® ソース 評価の送信

HCL Cloud MarketplaceHCL AppScan on Cloud をサブスクリプションを所有している場合、AppScan® ソース 評価結果をそこに送信して分析できます。AppScan® ソース バージョン 9.0 以上からの評価がサポートされます。送信できるスキャンの数は、 AppScan on Cloud サブスクリプションによって異なります。

このタスクについて

AppScan on Cloud サービスの静的分析機能を使用する場合、Intelligent Finding Analytics (IFA) を使用するセキュリティー分析レポートを生成できます。IFA は、誤検出をフィルタリングで除外し、特定のコード・ポイントで修正できる検出結果をグループ化するという方法でトリアージ作業の大部分を自動的に処理することを特徴とした、強力な機械学習テクノロジーです。IFA について詳しくは、この記事を参照してください。

AppScan® ソース バージョン 9.0 以上を使用しており、 AppScan on Cloud サブスクリプションがある場合、AppScan® ソース 評価を AppScan on Cloud にアップロードすることで、このテクノロジーの恩恵を受けることができます。その応答として、このテクノロジーよって自動的にトリアージされた新しい評価を受け取ります。この評価は、HTML レポートの形式、またはご使用の AppScan® ソース 製品で開くことができる評価の形式で受け取ることができます。

AppScan on Cloud サブスクリプションがある場合、月ごとのスキャン数が制限される可能性があります。スキャンおよび同時スキャンのライセンスについて詳しくは、https://help.hcltechsw.com/appscan/ASoC/src_managing_assessments_cloud.html を参照してください。

注: 無料試用版の AppScan on Cloud を使用して AppScan® ソース 評価をスキャンしている場合、IFA によってトリアージされた AppScan® ソース 評価ファイルに加えて、フル HTML レポートをダウンロードすることができます。その他のすべてのスキャン・タイプについては、無料試用版を使用している場合は、要約レポートのみをダウンロードすることができます。

手順

  1. 既に 静的分析 AppScan on Cloud を使用している場合は、このステップをスキップしてください。
    1. AppScan on Cloud サブスクリプションがない場合は、https://cloud.appscan.com/AsoCUI/serviceui/home に移動し、HCL ID でログインします。HCL ID がない場合は、リンクを使用して作成してください。その後、無料試用版の登録を行うか、サービスにあるリンクを使用して有料のサブスクリプションを契約します。
    2. HCL Cloud Marketplace のみ: AppScan on Cloud サービスで、アプリを作成し (https://help.hcltechsw.com/appscan/ASoC/ent_create_application.html を参照)、「スキャンの作成」をクリックします。
    3. 「今日はどのタイプのアプリをスキャンしますか?」画面で、「デスクトップ」または「Web」 > 「Static」を選択します。
    4. これまでに Static Analyzer Client Utilityをダウンロードしてセットアップしていない場合は、この時点でそれを実行します。詳細については、https://help.hcltechsw.com/appscan/ASoC/src_utility_install.htmlを参照してください。
  2. AppScan® ソース 製品または任意のツールで評価 (.ozasmt ファイル) を生成します。バージョン 9.0 以上がサポートされます。
  3. クライアント・ユーティリティー のコマンド行インターフェース (CLI) を使用して、評価の 中間表現 (IRX または .irx) ファイルを生成します (評価ファイルは.ozasmt ファイルです)。
    1. クライアント・ユーティリティー をローカル・ドライブに抽出した後で、その \bin ディレクトリーの場所を PATH 環境変数に追加します。この作業を省略すると、コマンドを発行するたびに、\bin ディレクトリーを使用してすべての クライアント・ユーティリティー CLI コマンドを修飾することが必要になります。詳細については、https://help.hcltechsw.com/appscan/ASoC/src_irx_gen_cli.htmlを参照してください。
    2. Windows では、次のコマンドを発行します。 
      appscan package -d <save_path> -f <assessment_file> -n <file_name>

      Linux では、次のコマンドを発行します。

      appscan.sh package -d <save_path> -f <assessment_file> -n <file_name>

      コマンド引数はオプションです。

      • -d:-d <save_path> を指定します。<save_path> には IRX ファイルの保存先ディレクトリーが入ります。
      • -f:-f <assessment_file> を指定します。<assessment_file> にはスキャンするために送信する .ozasmt ファイルが入ります。現行ディレクトリーに <assessment_file> ファイルがない場合は、このオプションを使用してアセスメント・ファイルのパスとファイル名を指定します。
        注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
        • コマンドを発行するディレクトリーに複数のアセスメント・ファイルが含まれている。ディレクトリーに含まれているアセスメント・ファイルが 1 つのみであれば、-f オプションが使用されていない場合はそのファイルがパッケージされます。
        • コマンドを発行するディレクトリーにアセスメント・ファイルが 1 つも含まれていない。この場合、-f オプションを使用して、パッケージするアセスメント・ファイルのパスおよびファイル名を指定する必要があります。
      • -n:-n <file_name> を指定します。<file_name> には IRXファイルの名前が入ります。このファイル名は、ファイル拡張子 .irx を付けて指定することも、拡張子なしで指定することもできます。ファイル拡張子なしで指定すると、ファイル生成時に自動的に拡張子が付けられます。

      package コマンドに関する追加情報 (使用例を含む) は、構成コマンド (Windows) または構成コマンド (Linux) を参照してください。

  4. CLI queue_analysis コマンドを使用し、IRX ファイルをアップロードします。
    1. CLI からサービスにログインします。CLI でのサービスに対する認証について詳しくは、認証コマンド (Windows) または認証コマンド (Linux) を参照してください。
      • HCL Cloud Marketplace:

        Windows では、次のコマンドを発行します。

        appscan scx_login -P <password> -u <user_name> -persist

        Linux では、次のコマンドを発行します。

        appscan.sh scx_login -P <password> -u <user_name> -persist

        これらの引数は必須です。

        • -P:-P <password> と指定します。<password> には、 AppScan on Cloud サービスへの登録時に指定したパスワードが入ります。
        • -u:-u <user_name> と指定します。<user_name> には、 AppScan on Cloud サービスへの登録時に指定した E メール・アドレスが入ります。

        この引数はオプションです。

        • -persist: ログイン・トークン・ファイルの有効期限が切れたときに、自動的にサービスへの再認証を試みます。
    2. queue_analysis コマンドを使用して、IRX ファイルをアップロードします。
      • Windows では、次のコマンドを発行します。
        appscan queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        Linux では、次のコマンドを発行します。

        appscan.sh queue_analysis -a <app_id> -f <irx_file> -n <scan_name>

        これらの引数は必須です。

        • -f:-f <irx_file> を指定します。<irx_file> には IRX スキャンするために送信するファイルが入ります。IRX ファイルが現行ディレクトリーにない場合、このオプションを使用して IRX ファイルのパスおよびファイル名を指定します。
          注: このオプションが必要なのは、以下の記述のいずれかまたは両方が当てはまる場合のみです。
          • コマンドを発行するディレクトリーに複数の IRX ファイルが含まれている。ディレクトリーに含まれている IRX ファイルが 1 つのみのときに、-f オプションを使用していない場合は、そのファイルが送信されます。
          • コマンドを発行するディレクトリーに IRX ファイルが 1 つも含まれていない。この場合は、-f オプションを使用して、送信する IRX ファイルのパスとファイル名を指定する必要があります。
        • -n:-n <scan_name> を指定します。<scan_name> には、クラウドで行われるスキャンの名前が入ります。
        • -a (HCL Cloud Marketplace のみ):HCL Cloud Marketplace AppScan on Cloud サービスに接続している場合、IRX ファイルを既存の AppScan on Cloud アプリケーションに関連付けることが求められます。このオプションを使用する場合は、-a <app_id> と指定します。<app_id> には、関連付けるアプリケーションの ID が入ります。ID を判別するには、list_apps コマンドを使用します。
      • queue_analysis コマンドが完了すると、分析ジョブの ID が表示されます。 AppScan on Cloud 分析レポートを受け取るために CLI を使用する場合は、このジョブ ID を get_result コマンドに含める必要があります。この ID をメモしておいてください。CLI を使用して分析レポートを受け取る場合、AppScan® ソース で分析レポートが開けるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートを表示するだけで構わない場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードすることができます。

      queue_analysis コマンドの使用について、詳しくは分析コマンド (Windows)分析コマンド (Linux) を参照してください。

  5. 分析が完了すると、CLI を使用して IRX をアップロードした場合、または AppScan on Cloud Web クライアントで「スキャン完了時に E メールを受け取る」チェック・ボックスを選択した場合は、E メールが送られてきます。
  6. 分析レポートを取得する方法を選択します。CLI get_result コマンドを使用できます。または、 AppScan on Cloud Web クライアントを使用できます。CLI を使用して分析レポートを受け取る場合、AppScan® ソース で分析レポートが開けるように、.ozasmt ファイルが含まれているアーカイブ (.zip) ファイルを受け取るオプションを選択できます。HTML レポートを表示するだけで構わない場合は、CLI または AppScan on Cloud Web クライアントを使用して、レポートをダウンロードすることができます。
  7. CLI get_result コマンドを使用して分析レポートを取得する場合は、次のステップを実行します。
    1. CLI からサービスにログインしていることを確認します。
    2. Windows では、次のコマンドを発行します。 
      appscan get_result -d <file_path> -i <job_id> -t <type>

      Linux では、次のコマンドを発行します。

      appscan.sh get_result -d <file_path> -i <job_id> -t <type>

      この引数は必須です。

      • -i:-i <job_id> を指定します。<job_id> には分析ジョブの ID が入ります。
      注: queue_analysis コマンドの発行時に ID をメモしなかった場合、appscan list コマンドまたは appscan.sh list コマンドを使用してすべての分析ジョブのリストを表示できます。詳しくは、分析コマンド (Windows) または分析コマンド (Linux) を参照してください。

      これらの引数はオプションです。

      • -d:-d <file_path> と指定します。<file_path> には、宛先ファイルの完全修飾パスおよび/またはファイル名が入ります。ファイル名が指定されていない場合、ファイル名はスキャン・ジョブ名に基づいた名前になります。パスを指定しない場合、ファイルは現在のディレクトリーに保存されます。このオプションが組み込まれていない場合、ファイルは、スキャン・ジョブ名に基づいたファイル名で現行ディレクトリーに保存されます。
      • -t:-t <type> を指定します。<type> には、html または zip が入ります。結果は HTML ファイルとして、または、HTML 結果を含んでいる .zip ファイルとして保存されます。このオプションが組み込まれていない場合、結果は HTML ファイルとして保存されます。

        スキャン結果が package コマンドによって生成された IRX ファイル用のものである場合は、-t zip を指定することで、AppScan® ソース バージョン 9.0 以降の製品にロードできる新規の .ozasmt ファイルを含む結果が保存されます。

      get_result コマンドの使用について詳しくは、結果コマンド (Windows) または結果コマンド (Linux) を参照してください。

  8. Web クライアントを使用して分析レポートを取得する場合は、次のステップを実行します。HTML レポートを表示するだけで構わない場合は、 AppScan on Cloud Web クライアントを使用してレポートをダウンロードできます。

    サービスにログインすると、スキャンのリストが自動的に表示されます (サービスの別のセクションにナビゲートされた場合は、右上部にある X アイコンをクリックすると、スキャンのリストに戻ります)。スキャン・リストでスキャンを見つけ、「ダウンロード」アイコンを選択して、XML 形式または HTML 形式を選択します。

    HCL Cloud Marketplace での AppScan on Cloud スキャン結果について詳しくは、https://help.hcltechsw.com/appscan/ASoC/appseccloud_results_dashboard_cm.html を参照してください。