在整合開發環境中掃描
如何在 Eclipse 或 Visual Studio 整合開發環境 (IDE) 安裝靜態分析外掛程式後,如何用於掃描原始碼。在 Eclipse 中,您可以掃描 Java 專案;而在 Visual Studio 中,您可以掃描 .NET(C#、ASP.NET、VB.NET)。
開始之前
- 在 Eclipse 或 Visual Studio 中掃描時,如果要包含第三方程式碼, 請使用下列其中一個方法:
- 啟動 ID 之前,先設定這個全域或系統環境變數:
APPSCAN_OPTS=-DthirdParty
- 每當使用 IDE 時,您可以在啟動 IDE 之前發出下列指令:
set APPSCAN_OPTS=-DthirdParty
- 啟動 ID 之前,先設定這個全域或系統環境變數:
- 或者,在 Eclipse 中掃描時,您可以這樣做:在啟動 Eclipse 之前先修改 eclipse.ini 檔,使
-vmargs
區段包含-DthirdParty
。
如果您是通常會在掃描中排除第三方程式碼的開發人員,則應使用此設定來包含第三方程式碼。
此外,您可以使用
-Dscan_speed=<speed>
搭配 APPSCAN_OPTS
來指定掃描速度。例如,如果要將掃描速度設為balanced
,請執行下列動作:- Windows:
set APPSCAN_OPTS=-Dscan_speed=balanced
- Linux 和 Mac:
export APPSCAN_OPTS="-Dscan_speed=balanced"
deep
。程序
若要掃描原始碼或是開啟評量或報告,請執行下列動作:
- 確定外掛程式已安裝到 IDE。在安裝期間,如果 IDE 已開啟,請將其重新啟動。
-
選取您要掃描的項目:
- 在 Eclipse 中,選取您要掃描的一或多個專案。若要掃描整個 Eclipse 工作區,請選取所有專案。
- 在 Visual Studio 中,選取您要掃描的解決方案、專案或網站。
-
用滑鼠右鍵按一下選項,然後選取 。
如果您尚未登入服務,即會開啟登入對話框。
-
請在登入對話框中,鍵入服務認證:
在 AppScan on Cloud 服務中產生 API 金鑰時,您會接收到金鑰 ID 和金鑰密碼。請在「ID」和「密碼」欄位中輸入這些值。如果您尚未產生 API 金鑰,請遵循對話框中的連結以建立 API 金鑰。當您登入服務時,會建立一個加密金鑰檔。之後當與 ASoC 服務互動時,其他動作就會參照此記號檔。
- 啟動掃描之後,AppScan on Cloud 會藉由對話框提示您選擇要與掃描產生關聯的應用程式。您的 IDE 中的靜態分析掃描必須與現有的 AppScan on Cloud 應用程式相關聯。
- 在相同對話框中,使用「個人掃描」勾選框來指示掃描是否為個人掃描。
- 在提交掃描之後,即會開啟我的掃描視圖。
-
當掃描完成時,將會開啟一個通知,其中有開啟「掃描問題」的連結。此外,還會更新我的掃描視圖以包含掃描。此視圖會列出掃描名稱、狀態、開始和結束的時間,以及發現漏洞的數目和嚴重性。
-
如果要開啟任何應用程式的不符規範問題:
- 選取「 」。
- 當系統提示時,請輸入您的服務認證。
- 從產生的對話框中的下拉清單選取應用程式,然後按一下「確定」。
結果
重要: 在整合開發環境中不支援重新掃描。