在集成开发环境中执行扫描
如何在将静态分析插件安装到 Eclipse 或 Visual Studio 集成开发环境 (IDE) 之后使用它们来扫描源代码。在 Eclipse 中,可以扫描 Java 项目;在 Visual Studio 中,可以扫描 .NET(C#、ASP.NET、VB.NET)。
开始之前
- 要在 Eclipse 或 Visual Studio 中扫描时包含第三方代码,请使用以下方法之一:
- 在启动标识之前设置此全局变量或系统环境变量:
APPSCAN_OPTS=-DthirdParty
- 每次使用 IDE 时,可在启动 IDE 之前发出命令:
set APPSCAN_OPTS=-DthirdParty
- 在启动标识之前设置此全局变量或系统环境变量:
- 或者,在扫描 Eclipse 时,可以执行以下操作:在启动 Eclipse 之前修改 eclipse.ini 文件,以使
-vmargs
部分包含-DthirdParty
。
如果您是扫描中通常排除的第三方代码的开发人员,应使用该设置来包含第三方代码。
此外,您还可以使用
-Dscan_speed=<speed>
和 APPSCAN_OPTS
指定扫描速度。例如,要将扫描速度设置为 balanced
:- Windows:
set APPSCAN_OPTS=-Dscan_speed=balanced
- Linux 和 Mac:
export APPSCAN_OPTS="-Dscan_speed=balanced"
deep
。过程
要扫描源代码并打开评估或报告,请执行以下操作:
- 确保插件已安装到 IDE。安装期间,如果 IDE 已打开,请将其重新启动。
-
选择要扫描的项:
- 在 Eclipse 中,选择要扫描的一个或多个项目。要扫描整个 Eclipse 工作空间,请选择所有项目。
- 在 Visual Studio 中,选择要扫描的解决方案、项目或网站。
-
右键单击选择内容并选择 。
如果尚未登录到服务,将显示登录对话框。
-
在登录对话框中,输入服务凭证:
在 AppScan on Cloud 服务中生成 API 密钥时,您将收到密钥标识和私有密钥。在标识和密钥字段中输入值。如果您还没有生成 API 密钥,请点击对话框中的链接以创建一个。在登录服务时,将创建加密的密钥文件。然后,在与 ASoC 服务进行交互时,此令牌文件将由其他操作引用。
- 扫描启动后,AppScan on Cloud 将通过对话框提示您选择将与扫描关联的应用程序。IDE 中的静态分析扫描必须与现有 AppScan on Cloud 应用程序关联。
- 在同一对话框中,使用个人扫描复选框指示扫描是否为个人扫描。
- 我的扫描视图在扫描提交后打开。
-
扫描完成后,通知将打开,其中包含用于打开扫描问题的链接。此外,我的扫描视图已更新以包括扫描。视图将列出扫描名称、状态、开始时间和结束时间、以及发现的漏洞数量和严重性。
-
要打开任何应用程序的不合规问题,请执行以下操作:
- 选择 。
- 如果出现提示,请输入您的服务凭证。
- 从出现的对话框的下拉列表中选择应用程序,然后单击确定.
结果
重要: 集成开发环境中不支持重新扫描。