Examen dans des environnements de développement intégré
Comment examiner le code source à l'aide du plug-in d'analyse statique après son installation dans les environnements de développement intégré (IDE) Eclipse ou Visual Studio. Vous pouvez examiner les projets Java dans Eclipse, et les projets .NET (C#, ASP.NET et VB.NET) dans Visual Studio.
Avant de commencer
- Pour inclure le code tiers à un examen dans Eclipse ou Visual Studio, utilisez l'une des méthodes ci-dessous :
- Définissez cette variable d'environnement global ou système avant de démarrer l'ID :
APPSCAN_OPTS=-DthirdParty
- Dès que vous utilisez l'environnement de développement intégré, vous pouvez émettre une commande avant de le démarrer :
set APPSCAN_OPTS=-DthirdParty
- Définissez cette variable d'environnement global ou système avant de démarrer l'ID :
- De même, lors d’un examen dans Eclipse, vous pouvez procéder comme suit : Modifiez votre fichier eclipse.ini avant de démarrer Eclipse afin que la section
-vmargs
comprenne-DthirdParty
.
Si vous êtes un développeur de code tiers qui serait normalement exclu dans un examen, vous pouvez utiliser le paramètre permettant d'inclure le code tiers.
En outre, vous pouvez spécifier la vitesse d'examen à l'aide de
-Dscan_speed=<speed>
avec APPSCAN_OPTS
. Par exemple, pour définir la vitesse d'examen sur balanced
:- Windows :
set APPSCAN_OPTS=-Dscan_speed=balanced
- Linux et Mac :
export APPSCAN_OPTS="-Dscan_speed=balanced"
deep
.Procédure
Pour examiner du code source et ouvrir des évaluations ou des rapports :
- Vérifiez que le plug-in est installé dans l'IDE. Si l'IDE était ouvert au cours de l'installation, redémarrez-le.
-
Sélectionnez l'élément à examiner :
- Dans Eclipse, sélectionnez le ou les projets à examiner. Pour examiner l'intégralité d'un espace de travail Eclipse, sélectionnez tous les projets.
- Dans Visual Studio, sélectionnez les solutions, projets ou sites Web que vous souhaitez examiner.
-
Cliquez avec le bouton droit de la souris sur la sélection, puis choisissez .
Si vous n'êtes pas encore connecté au service, la boîte de dialogue Connexion s'ouvre.Remarque : Lorsque vous examinez du code ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire de ligne de commande Static Analyzer le plus récent. Voir Support de l'utilitaire de ligne de commande (CLI).
-
Dans la boîte de dialogue Connexion, saisissez les informations d'identification de votre service :
Lorsque vous générez une clé d'API dans le service AppScan sur Cloud, vous recevez un ID de clé et un mot de passe de clé. Entrez ces valeurs dans les champs ID et Mot de passe. Si vous n'avez pas encore généré de clé d'API, suivez le lien dans la boîte de dialogue pour en créer une.Lorsque vous vous connectez au service, un fichier de clé chiffré est créé. Ensuite, d'autres actions vont faire référence à ce fichier jeton lorsqu'elles interagissent avec le service ASoC.
- Après le lancement de l'examen, AppScan sur Cloud vous invite, à l'aide d'une boîte de dialogue, à choisir l'application à associer à l'examen. Les examens utilisant l'analyse statique dans votre environnement de développement intégré doivent être associés à une application AppScan sur Cloud existante.
- Dans cette même boîte de dialogue, cochez la case Examen personnel pour indiquer si la recherche est un examen personnel.
- Après l'envoi de l'examen, la vue Mes examens s'ouvre.
-
Lorsque l'examen est terminé, une notification s'ouvre et propose des liens permettant d'ouvrir Problèmes d'examen. En outre, la vue Mes examens est mise à jour afin d'inclure l'examen. La vue indique le nom de l'examen, son statut, l'heure de début et de fin, ainsi que le nombre et le niveau de sévérité des vulnérabilités détectées.
-
Pour ouvrir les problèmes de non-conformité pour n'importe quelle application :
Remarque : Les problèmes de non-conformité sont ceux qui ne relèvent pas des règles spécifiées pour l'application dans AppScan sur Cloud.
- Sélectionnez .
- Si vous y êtes invité, entrez les données d'identification du service.
- Sélectionnez l'application dans la liste déroulante de la boîte de dialogue qui s'affiche, puis cliquez sur OK.
Résultats
Important : Le nouvel examen n'est pas pris en charge dans des environnements de développement intégré.