ホーム
構成
製品の構成方法について説明します。
アプリケーションおよびプロジェクトの構成
スキャンの前に、アプリケーションとプロジェクトを構成する必要があります。このセクションでは、アプリケーション・ディスカバリー・アシスタント、新規アプリケーション・ウィザード、および新規プロジェクト・ウィザードについて説明します。AppScan® Source for Analysis の属性を構成する方法についても説明します。さらに、このセクションでは、スキャン用に既存のアプリケーションおよびプロジェクトを追加する方法と、プロジェクトにファイルを追加する方法についても説明します。
Docker イメージを使用したコンテナーの作成
手動による介入のないスキャン

ようこそ
HCL® AppScan® ソースの文書へようこそ。
HCL® AppScan® ソースの概要
HCL® AppScan® ソースは、ソフトウェア・セキュリティーに携わる組織内のすべてのユーザーに対して、最大の価値を提供します。AppScan ソース製品により、セキュリティー・アナリスト、品質保証専門家、開発者、経営幹部などの職種に関わらず、それぞれのユーザーが必要とする機能、柔軟性、処理能力がデスクトップで実現します。
AppScan® ソースの新機能
以下の、AppScan® ソースに追加された新機能と、このリリースで非推奨になった機能についての注意について説明します。
インストール
製品のインストール方法について説明します。
構成
製品の構成方法について説明します。
- アプリケーションおよびプロジェクトの構成
  スキャンの前に、アプリケーションとプロジェクトを構成する必要があります。このセクションでは、アプリケーション・ディスカバリー・アシスタント、新規アプリケーション・ウィザード、および新規プロジェクト・ウィザードについて説明します。AppScan® Source for Analysis の属性を構成する方法についても説明します。さらに、このセクションでは、スキャン用に既存のアプリケーションおよびプロジェクトを追加する方法と、プロジェクトにファイルを追加する方法についても説明します。
  - AppScan® ソースアプリケーションおよびプロジェクト・ファイル
    AppScan® ソースのアプリケーションおよびプロジェクトには、スキャンおよびトリアージのカスタマイズに必要な構成情報を保守する対応ファイルがあります。プロジェクトをビルドするために必要な構成情報 (依存関係やコンパイラー・オプションなど) は、AppScan ソースがプロジェクトを正常にスキャンするために必要な構成情報と非常に似ているため、これらのファイルはソース・コードと同じディレクトリーに配置することをお勧めします。ベスト・プラクティスには、これらのファイルをソース・コントロール・システムで管理する方法があります。
  - アプリケーションの構成
    新規アプリケーション・ウィザードまたはアプリケーション・ディスカバリー・アシスタントを使用して、アプリケーションを作成できます。アプリケーション・ディスカバリー・アシスタントでは、アプリケーションの設定が自動化されますが、新規アプリケーション・ウィザードでは、アプリケーションを追加して、構成処理を行うことができます。このウィザードを使用すれば、プロジェクトを手動で作成したり、既存のプロジェクトをアプリケーションに追加したりできます。このセクションでは、アプリケーションを追加する 2 つの方法と、基本的な構成作業について説明します。
  - Eclipse プロジェクトおよび Rational® WebSphere® Software (RAD) のアプリケーション開発者プロジェクトの開発環境の構成
    Eclipse または Rational® WebSphere® Software (RAD) のアプリケーション開発者のプロジェクトをインポートする前に、開発環境を適切に構成する必要があります。それぞれのプロジェクト・タイプの基礎となるのは Eclipse ですが、AppScan® ソースでは、バージョン間の違いが区別されます。
  - アプリケーションの新規プロジェクトの作成
    アプリケーションを追加した後で、そのアプリケーションにプロジェクトを追加します。
  - Docker イメージを使用したコンテナーの作成
  - プロジェクトのコピー
    AppScan® Source for Analysis を使用すると、.NET プロジェクト以外のすべてのプロジェクト・タイプをコピーできます。プロジェクトに変更を加えても、複製されたプロジェクトには影響しません。プロジェクトをコピーした後、元のプロジェクトとコピーされたプロジェクトとの間につながりはありません。インポートされたプロジェクトをコピーすると、すべての構成情報を含む AppScan ソースプロジェクト・ファイル (.ppf) が作成されます。
  - アプリケーション・プロパティーおよびプロジェクト・プロパティーの変更
    「エクスプローラー」ビューでアプリケーションまたはプロジェクトを選択すると、現在のプロパティーが「プロパティー」ビューに表示されます。このビューで、プロパティーを変更できます。
  - グローバル属性
    グローバル属性を個々のアプリケーションに関連付けるには、その前に、グローバル属性を定義する必要があります。グローバル属性は、「エクスプローラー」ビューで「すべてのアプリケーション」を選択することにより、「プロパティー」ビューで定義されます。
  - アプリケーション属性
    アプリケーション属性は、現在選択されているアプリケーションに適用されます。また、アプリケーション属性は前に作成されたグローバル属性に依存します。
  - アプリケーションおよびプロジェクトの削除
    登録されていないアプリケーションおよびプロジェクトを AppScan® Source for Analysis から削除できます。
  - 「エクスプローラー」ビュー
    「エクスプローラー」ビューには、上部に「クイック・スタート」セクションがあり、下部に「エクスプローラー」セクションがあります。「エクスプローラー」セクションには、「すべてのアプリケーション」という 1 つのノードが含まれています。「クイック・スタート」セクションには、共通のアクションを起動するいくつかの便利なリンクが含まれています。エクスプローラー・セクションは、リソース(アプリケーション、プロジェクト、ディレクトリー、プロジェクト・ファイル) の階層表示と、すべてのアプリケーションをルートとしたツリー・ペインで構成されます。これらのリソースをナビゲートする方法は、ファイル・ブラウザーとほぼ同様です。ビューをナビゲートするときは、ツリーの選択状態によって「プロパティー」ビューで使用できるタブが決まります。
- 設定
  設定は、AppScan® Source for Analysis の外観および操作についての個人の選択項目です。
の管理
製品の管理方法について説明します。
開発
製品を使用した開発方法について説明します。
プロダクト機能の拡張
製品の拡張方法について説明します。
リファレンス
製品の参照情報を確認します。
トラブルシューティングおよびサポート
問題のトラブルシューティングに役立つ自己解決用の情報リソースとツールが多数用意されています。

手動による介入のないスキャン

デフォルトでは、コンテナーが作成されると AppScan® ソース CLI シェルが開始されます。サポートされるすべての AppScan® ソース CLI コマンドは、コンテナー内で実行できます。また、CLI では、スクリプト・ファイルへのコマンド・セットの定義、およびこれらのコマンドをすべて順次実行するために script コマンドを使用するファイルの指定もサポートしています。

script コマンドを活用することで、手動による介入を行わずにスキャンを実行できます。

以下に例を示します。

スクリプトを作成するには、次のようにします。

> vi /host_machine_workspace/cli.script
> login …
> oa /container_workspace/simpleIOT/SimpleIOT.paf
> scan
> report "Findings by Fix Group" pdf-annotated /Apps/owasp_report.pdf
        -includeSrcBefore:5 -includeSrcAfter:5 -includeTrace:suspect
      -includeHowToFix
> logout

以下のスクリプトを指定して、コンテナーでスキャンを実行します。

docker run -it --rm --env-file ./env.list --volume
        /host_machine_workspace/:/container_workspace/
        hcl/appscan/source/cli:10.1.0 script .“/container_workspace/cli.script