ScanApplication

Description

Examinez l'application spécifiée et effectuez d'autres actions liées à l'examen.

Syntaxe

ounceauto ScanApplication
-application <name of application>|
  -application_file <path to application file>
[-name <assessment name>]
[-scanconfig <scan_configuration_name>]
[-waitforlicense <wait_time>]
[-save <filename>]
[-caller <caller>]
[-publish]
[-clearcache]
[-report <report type> <output format> <output location>]
[-export <export type> <output location>]
[-includeSrcBefore <n>]
[-includeSrcAfter <n>]
[-includeTraceDefinitive]
[-includeTraceSuspect]
[-includeTraceCoverage]
[-includeHowToFix]
[-appserver_type]
[-include_all_lib_jars] 
[-include_lib_jars] 
[-no_ear_project]
  • -application <name of application> ou -application_file <path to application file> : L'un des deux est requis.
    • Si vous spécifiez -application <name of application>, indiquez le nom de l'application à examiner.
    • Si vous spécifiez -application_file <path to application file>, indiquez le chemin et le nom de fichier complet pour l'un de ces types de fichiers :
      • Fichiers d'application AppScan® Source (.paf).
      • Espaces de travail Eclipse (.ewf)
        Remarque : Les fichiers .ewf sont générés lorsque vous utilisez openapplication pour ouvrir un répertoire d'espace de travail (en spécifiant son chemin d'accès).
      • Fichiers WAR (.war)
      • Fichiers EAR (.ear)
      • Windows uniquement : Fichiers d'espace de travail Microsoft Visual C++ (.dsw)
      • Windows uniquement : Fichiers de solution Microsoft Visual Studio .NET (.sln)
      Remarque : Pour savoir quelles versions des fichiers importés sont prises en charge par AppScan® Source for Analysis, AppScan® Source for Automation et l'AppScan® Source command line interface, voir Configuration requise et composants prérequis pour l'installation. Dans cette page, sélectionnez l'onglet de la version d'AppScan® Source que vous utilisez, puis sélectionnez le composant AppScan® Source que vous utilisez. Si AppScan® Source prend en charge l'ouverture et l'examen de fichiers provenant d'autres environnements de développement, cette prise en charge est indiquée à la section Compilateurs et langues de l'onglet Logiciels pris en charge.
  • -name <assessment name> : Facultatif. Un nom pour l'évaluation.
  • -scanconfig <scan_configuration_name> : Facultatif. Spécifiez le nom d'une configuration d'examen à utiliser pour l'examen. Si aucune configuration d'examen n'est indiquée, la configuration d'examen par défaut va être utilisée pour l'examen.
  • -waitforlicense <wait_time> : Facultatif. Spécifiez le temps d'attente en minutes pendant lequel un examen attend lorsqu'une licence AppScan® Source for Automation n'est pas disponible. Si aucun temps d'attente n'est indiqué à l'aide de -waitforlicense, une valeur par défaut est obtenue à partir de CLI.ozsettings. Le temps d'attente peut être désactivé en réglant la valeur sur 0.
  • -save <filename> : Facultatif. Enregistrer les résultats de l'évaluation dans ce fichier.
  • -caller <caller> : Facultatif. Permet d'affecter un appelant à l'opération. Il peut s'agir du nom d'un utilisateur réel, mais cela n'est pas une obligation. Le nom de l'appelant est consigné dans le fichier journal ounceauto.
  • -publish : Facultatif. Publier l'évaluation après l'examen.
  • -clearcache : Facultatif. Cette commande supprime le cache d'analyse de vulnérabilité et les données de signature des règles personnalisées avant l'examen.
  • -report : Facultatif. Générer un rapport après l'examen.
    • Options obligatoires de la commande -report :
      • <report type> : type de rapport. Il peut s'agir de rapports sur les constatations, de rapports AppScan® Source et de rapports personnalisés. Reportez-vous aux options indiquées dans la rubrique GenerateReport.
      • <output format> : Définir le format du rapport. Reportez-vous aux options indiquées dans la rubrique GenerateReport.
      • <output location> : L'emplacement où enregistrer le rapport.
    • Options facultatives de la commande -report :
      • -includeSrcBefore <n> : Le nombre de lignes de code source à inclure avant chaque constatation.
      • -includeSrcAfter <n> : Le nombre de lignes de code source à inclure après chaque constatation.
      • -includeTraceDefinitive : Incluez les informations de trace dans le rapport pour les constatations définitives (voir Classifications pour plus de détails sur les classifications des constatations).
      • -includeTraceSuspect : Permet d'inclure des informations de trace des constatations suspectes dans le rapport.
      • -includeTraceCoverage : Permet d'inclure des informations de trace des constatations de couverture de l'examen.
  • -export : Facultatif. Exportez les constatations d'examen dans un fichier CSV ou SARIF. Si cette commande est utilisée, les options de commande suivantes sont requises.
    • <export type> : Format du rapport exporté, CSV ou SARIF.
    • <output location> : Chemin d'accès et nom du fichier dans lequel enregistrer le rapport.
  • -includeHowToFix : Joignez des recommandations sur la façon de traiter et de corriger les constatations.
  • -appserver_type : Facultatif. Si l'application en cours d'ouverture inclut JavaServer Pages (par exemple, un fichier WAR ou EAR), utilisez ce paramètre pour indiquer le serveur d'application à utiliser pour la compilation de JSP. Indiquez l'un de ceux-ci entre guillemets :
    • Tomcat 8
    • Tomcat 9
    • WebSphere 7.0
    • WebSphere 8.0
    • WebSphere 8.5
    • WebLogic 11g
    • WebLogic 12c
    Remarque :
    • Avant de spécifier un serveur d'application, vérifiez qu'il a été configuré correctement dans les préférences AppScan® Source for Analysis.
    • Si -appserver_type n'est pas utilisé, le compilateur JSP par défaut défini actuellement dans AppScan® Source for Analysis sera utilisé pour la compilation JSP. Prêt à l'emploi, Tomcat 9 est le compilateur JSP par défaut.
  • Pour les fichiers :WAR
    • -include_all_lib_jars : utilisez ce paramètre pour prendre en compte toutes les bibliothèques du fichier WAR lors de l'examen.
    • -include_lib_jars : utilisez ce paramètre pour préciser les bibliothèques du fichier WAR à prendre en compte lors de l'examen. Lorsque vous utilisez ce paramètre, n'incluez pas d'informations sur le chemin d'accès à la bibliothèque et séparez les différentes bibliothèques par des virgules.
  • -no_ear_project : lors de l'importation d'un fichier EAR, un projet destiné au stockage des bibliothèques partagées est créé automatiquement. En l'absence de bibliothèques partagées, le fichier est quand-même créé, mais reste vide. Ce paramètre permet de ne pas créer de projet pour le fichier EAR.

Valeur de retour

L'ID de la demande en cas de réussite, ou -1 si la soumission de la demande n'a pas abouti.

Exemples

  • Examinez l'application WebGoat, publiez-la et annotez le journal en indiquant que John Smith est l'appelant :
    ounceauto scanapplication -application_file C:\WebGoat\WebGoat.paf
    -publish -caller JohnSmith
  • Examinez l'application WebGoat et créez un rapport Constatations sous le répertoire C:\WebGoat directory. Dans le rapport, incluez les informations de trace pour les constatations définitives :
    ounceauto scanapplication -application WebGoat
    -report Findings html C:\WebGoat\MyReport.html
    -includeTraceDefinitive
  • Examinez un fichier WAR en ne prenant en compte que certaines bibliothèques :
    ounceauto scanapplication -application_file c:\mywar.war 
    -include_lib_jars lib1.jar,lib2.jar