Configurer un examen dans AppScan 360°

Identifiez ce que vous allez examiner :

Examiner un référentiel GitHub :
Identifiez le référentiel GitHub public à examiner et vérifiez que vous disposez des droits d'accès appropriés. AppScan 360° nécessite un accès en lecture aux référentiels afin d'y effectuer des examens de sécurité. AppScan 360° prend en charge l'examen d'un référentiel par balayage.
Remarque : Pour examiner un référentiel privé, installez l'application GitHub HCL AppScan on Cloud sur le compte GitHub ou l'organisation qui possède le référentiel à analyser. Voir Installation d'une application GitHub à partir d'un tiers
Un fichier IRX :
- Pour générer un fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions dans la section Génération d'un fichier IRX à l'aide de l'interface de ligne de commande. Vous pouvez examiner tous les langages pris en charge depuis l'interface de ligne de commande.
- Pour générer un fichier IRX à l'aide d'AppScan Go!, suivez les instructions dans la section Configuration d'un examen à l'aide d'AppScan Go!.
- Pour générer un fichier IRX pour un projet Maven, suivez les instructions dans la section Exécution d'une analyse statique pour un projet Maven. Maven prend en charge les projets Java et Android uniquement.
Un fichier de code source :
Pour examiner un fichier de code source, identifiez le fichier .zip, .war, .jar ou .ear approprié.
Remarque : Les fichiers de code source qui ne sont pas des fichiers .war, .jar ou .ear doivent être compressés dans un fichier .zip. Si un fichier .zip inclut des métadonnées .git (un référentiel GitHub), AppScan 360° prend en charge un référentiel (fichier .git) par examen.
Dans un environnement de développement intégré :
Pour examiner dans IntelliJ IDEA ou Visual Studio, suivez les instructions fournies dans la section Examen dans des environnements de développement intégré. Vous pouvez examiner les projets Java dans IntelliJ IDEA, et les projets .NET (C#, ASP.NET et VB.NET) dans Visual Studio.

Remarque : Lorsque vous examinez du code ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire de ligne de commande Static Analyzer le plus récent. Voir Support de l'utilitaire de ligne de commande (CLI).

Si vous souhaitez examiner un fichier IRX, téléchargez et configurez l'une des options suivantes :

Un plug-in pris en charge.
Des informations complètes sur les plug-ins pris en charge sont répertoriées sur la page Intégrations.
AppScan Go!, l'interface utilisateur graphique de l'utilitaire client.
L'Utilitaire de ligne de commande Static Analyzer, tel que décrit dans Utilisation de la Utilitaire de ligne de commande Static Analyzer.

Si vous ne l'avez pas encore fait, créez une application pour vos examens.

Utilisez l'assistant Créer un examen pour commencer à configurer votre examen. Sélectionnez Applications > <Application> > Créer un examen > Analyse statique SAST : Créer un examen.

Sélectionnez Examiner un référentiel GitHub pour examiner un référentiel.
Sélectionnez Télécharger une archive pour examiner un fichier IRX ou un fichier de code source.

Configurer un examen dans AppScan 360°

Procédure