統合開発環境におけるスキャン
静的分析プラグインを Eclipse、IntelliJ IDEA、または Visual Studio 統合開発環境 (IDE) にインストールした後、そのプラグインを使用してソース・コードをスキャンする方法を以下に示しています。Eclipse では、Java プロジェクトをスキャンできます。Visual Studio では、.NET (C#、ASP.NET、VB.NET) をスキャンできます。
始める前に
- Eclipse または Visual Studio でのスキャン時にサード・パーティーのコードを含めるには、次のいずれかの方法を使用します。
- ID を開始するまえに、以下のグローバル変数またはシステム環境変数を設定します。
APPSCAN_OPTS=-DthirdParty
- IDE を使用するごとに、IDE 始動前にコマンドを実行します。
set APPSCAN_OPTS=-DthirdParty
- ID を開始するまえに、以下のグローバル変数またはシステム環境変数を設定します。
- Eclipse でスキャンする場合は、次のような方法もあります。Eclipse を始動する前に eclipse.ini ファイルを変更し、
-vmargs
セクションに-DthirdParty
を含めます。
サード・パーティー・コードがスキャンで標準的に除外されるようにする開発者の場合、この設定を使用してサード・パーティー・コードをスキャンに含める必要があります。
さらに、
-Dscan_speed=<speed>
を APPSCAN_OPTS
とともに使用すると、スキャン速度を指定できます。例えば、スキャン速度を balanced
に設定するには、以下のようにします。- Windows:
set APPSCAN_OPTS=-Dscan_speed=balanced
- Linux および Mac:
export APPSCAN_OPTS="-Dscan_speed=balanced"
deep
です。手順
ソース・コードをスキャンし、アセンブリーまたはレポートを開く方法:
- プラグインが IDE にインストールされていることを確認します。インストール中に IDE が開いていた場合は、再始動してください。
-
スキャンする項目を選択します。
- Eclipse で、スキャンするプロジェクトを選択します。Eclipse ワークスペース全体をスキャンするには、すべてのプロジェクトを選択します。
- Visual Studio で、スキャンするソリューション、プロジェクトまたはウェブサイトを選択します。
-
選択した項目を右クリックし、 の順に選択します。
まだサービスにログインしていなければ、「ログイン」ダイアログ・ボックスが開きます。注: コードをスキャンするか、IRX ファイルを生成する際に、最新の Static Analyzer コマンド行ユーティリティー への更新に関するメッセージを受け取ることがあります。「コマンド行ユーティリティー (CLI) のサポート」を参照してください。
-
「ログイン」ダイアログ・ボックスに、サービスの資格情報を入力します。
AppScan on Cloud サービスで API 鍵を生成すると、キー ID とキーの秘密を受け取ります。これらの値を「ID」フィールドと「秘密」フィールドに入力します。まだ API 鍵を生成していない場合は、作成するためにダイアログ・ボックスのリンクに従います。サービスにログインすると、暗号化された鍵ファイルが作成されます。このトークン・ファイルは、ASoC サービスと対話するときに、他のアクションによって参照されます。
- スキャンの開始後、スキャンと関連付けるアプリケーションを選択するように求めるダイアログ・ボックスが AppScan on Cloud に表示されます。IDE 内の静的分析スキャンは既存の AppScan on Cloud アプリケーションと関連付ける必要があります。
- 同じダイアログ・ボックスで、「個人スキャン」チェック・ボックスを使用し、そのスキャンが個人スキャンかどうかを指定します。
- スキャンが送信されると、「マイ・スキャン」ビューが開かれます。
-
スキャンが完了すると通知が開き、「スキャンの問題」を開くためのリンクが示されます。さらに、「マイ・スキャン」ビューが更新されてスキャンが追加されます。このビューには、スキャン名、ステータス、スキャンの開始時刻と終了時刻、検出された脆弱性の数と重大度がリストされます。
-
アプリケーションの非準拠問題を開く方法:
- の順に選択します。
- プロンプトが表示されたら、サービス資格情報を入力します。
- 結果のダイアログ・ボックスのドロップダウン・リストからアプリケーションを選択し、「OK」をクリックします。
タスクの結果
重要: 再スキャンは、統合開発環境ではサポートされていません。