ScanApplication

Description

Examinez l'application spécifiée et effectuez d'autres actions liées à l'examen.

Syntaxe

ounceauto ScanApplication
-application <name of application>|
  -application_file <path to application file>
[-name <assessment name>]
[-scanconfig <scan_configuration_name>]
[-waitforlicense <wait_time>]
[-save <filename>]
[-caller <caller>]
[-publish]
[-clearcache]
[-report <report type> <output format> <output location>]
[-export <export type> <output location>]
[-includeSrcBefore <n>]
[-includeSrcAfter <n>]
[-includeTraceDefinitive]
[-includeTraceSuspect]
[-includeTraceCoverage]
[-includeHowToFix]
[-appserver_type]
[-include_all_lib_jars] 
[-include_lib_jars] 
[-no_ear_project]
  • -application <name of application> ou -application_file <path to application file> : L'un des deux est requis.
    • Si vous spécifiez -application <name of application>, indiquez le nom de l'application à examiner.
    • Si vous spécifiez -application_file <path to application file>, indiquez le chemin et le nom de fichier complet pour l'un de ces types de fichiers :
      • Fichiers d'application AppScan® Source (.paf).
      • Espaces de travail Eclipse (.ewf)
        Remarque : .ewf Les fichiers . ewf sont générés lorsque vous utilisez openapplication pour ouvrir un répertoire d'espace de travail (en spécifiant son chemin d'accès).
      • WAR Fichiers (.war)
      • EAR Fichiers (.ear)
      • Windows uniquement : Fichiers d'espace de travail Microsoft Visual C++ (.dsw)
      • Windows uniquement : Fichiers de solution Microsoft Visual Studio .NET (.sln)
      Remarque : Pour savoir quelles versions des fichiers importés sont prises en charge par AppScan® Source for Analysis, AppScan® Source for Automation et l'AppScan® Source command line interface, voir Configuration requise et composants prérequis pour l'installation. Dans cette page, sélectionnez l'onglet de la version d'AppScan® Source que vous utilisez, puis sélectionnez le composant AppScan® Source que vous utilisez. Si AppScan® Source prend en charge l'ouverture et l'examen de fichiers provenant d'autres environnements de développement, cette prise en charge est indiquée à la section Compilateurs et langues de l'onglet Logiciels pris en charge.
  • -name <assessment name> : Facultatif. Un nom pour l'évaluation.
  • -scanconfig <scan_configuration_name> : Facultatif. Spécifiez le nom d'une configuration d'examen à utiliser pour l'examen. Si aucune configuration d'examen n'est indiquée, la configuration d'examen par défaut va être utilisée pour l'examen.
  • -waitforlicense <wait_time> : Facultatif. Spécifiez le temps d'attente en minutes pendant lequel un examen attend lorsqu'une licence AppScan® Source for Automation n'est pas disponible. Si aucun temps d'attente n'est indiqué à l'aide de -waitforlicense, une valeur par défaut est obtenue à partir de CLI.ozsettings. Le temps d'attente peut être désactivé en réglant la valeur sur 0.
  • -save <filename> : Facultatif. Enregistrer les résultats de l'évaluation dans ce fichier.
  • -caller <caller> : Facultatif. Permet d'affecter un appelant à l'opération. Il peut s'agir du nom d'un utilisateur réel, mais cela n'est pas une obligation. Le nom de l'appelant est consigné dans le fichier journal ounceauto.
  • -publish : Facultatif. Publier l'évaluation après l'examen.
  • -clearcache : Facultatif. Cette commande supprime le cache d'analyse de vulnérabilité et les données de signature des règles personnalisées avant l'examen.
  • -report : Facultatif. Générer un rapport après l'examen.
    • Options obligatoires de la commande -report :
      • <report type> : type de rapport. Il peut s'agir de rapports sur les constatations, de rapports AppScan® Source et de rapports personnalisés. Reportez-vous aux options indiquées dans la rubrique GenerateReport.
      • <output format> : Définir le format du rapport. Reportez-vous aux options indiquées dans la rubrique GenerateReport.
      • <output location> : L'emplacement où enregistrer le rapport.
    • Options facultatives de la commande -report :
      • -includeSrcBefore <n> : Le nombre de lignes de code source à inclure avant chaque constatation.
      • -includeSrcAfter <n> : Le nombre de lignes de code source à inclure après chaque constatation.
      • -includeTraceDefinitive : Incluez les informations de trace dans le rapport pour les constatations définitives (voir Classifications pour plus de détails sur les classifications des constatations).
      • -includeTraceSuspect : Permet d'inclure des informations de trace des constatations suspectes dans le rapport.
      • -includeTraceCoverage : Permet d'inclure des informations de trace des constatations de couverture de l'examen.
  • -export : Facultatif. Exportez les constatations d'examen dans un fichier CSV ou SARIF. Si cette commande est utilisée, les options de commande suivantes sont requises.
    • <export type> : Format du rapport exporté, CSV ou SARIF.
    • <output location> : Chemin d'accès et nom du fichier dans lequel enregistrer le rapport.
  • -includeHowToFix : Joignez des recommandations sur la façon de traiter et de corriger les constatations.
  • -appserver_type : Facultatif. Si l'application en cours d'ouverture inclut JavaServer Pages (par exemple, un fichier WAR ou EAR), utilisez ce paramètre pour indiquer le serveur d'application à utiliser pour la compilation de JSP. Indiquez l'un de ceux-ci entre guillemets :
    • Tomcat 8
    • Tomcat 9
    • WebSphere 7.0
    • WebSphere 8.0
    • WebSphere 8.5
    • WebLogic 11g
    • WebLogic 12c
    Remarque :
    • Avant de spécifier un serveur d'application, vérifiez qu'il a été configuré correctement dans les préférences AppScan® Source for Analysis.
    • Si -appserver_type n'est pas utilisé, le compilateur JSP par défaut défini actuellement dans AppScan® Source for Analysis sera utilisé pour la compilation JSP. Prêt à l'emploi, Tomcat 9 est le compilateur JSP par défaut.
  • Pour les fichiers :WAR
    • -include_all_lib_jars : utilisez ce paramètre pour prendre en compte toutes les bibliothèques du fichier WAR lors de l'examen.
    • -include_lib_jars : utilisez ce paramètre pour préciser les bibliothèques du fichier WAR à prendre en compte lors de l'examen. Lorsque vous utilisez ce paramètre, n'incluez pas d'informations sur le chemin d'accès à la bibliothèque et séparez les différentes bibliothèques par des virgules.
  • -no_ear_project : lors de l'importation d'un fichier EAR, un projet destiné au stockage des bibliothèques partagées est créé automatiquement. En l'absence de bibliothèques partagées, le projet est créé, mais reste vide. Ce paramètre permet de ne pas créer de projet pour le fichier EAR.

Valeur de retour

L'ID de la demande en cas de réussite, ou -1 si la soumission de la demande n'a pas abouti.

Exemples

  • Examinez l'application WebGoat, publiez-la et annotez le journal en indiquant que John Smith est l'appelant :
    ounceauto scanapplication -application_file C:\WebGoat\WebGoat.paf
-publish -caller JohnSmith
  • Examinez l'application WebGoat et créez un rapport Constatations sous le répertoire C:\WebGoat directory. Dans le rapport, incluez les informations de trace pour les constatations définitives :
    ounceauto scanapplication -application WebGoat
-report Findings html C:\WebGoat\MyReport.html
-includeTraceDefinitive
  • Examinez un fichier WAR en ne prenant en compte que certaines bibliothèques :
    ounceauto scanapplication -application_file c:\mywar.war 
-include_lib_jars lib1.jar,lib2.jar