ScanApplication
Description
Examinez l'application spécifiée et effectuez d'autres actions liées à l'examen.
Syntaxe
ounceauto ScanApplication
-application <name of application>|
-application_file <path to application file>
[-name <assessment name>]
[-scanconfig <scan_configuration_name>]
[-waitforlicense <wait_time>]
[-save <filename>]
[-caller <caller>]
[-publish]
[-clearcache]
[-report <report type> <output format> <output location>]
[-export <export type> <output location>]
[-includeSrcBefore <n>]
[-includeSrcAfter <n>]
[-includeTraceDefinitive]
[-includeTraceSuspect]
[-includeTraceCoverage]
[-includeHowToFix]
[-appserver_type]
[-include_all_lib_jars]
[-include_lib_jars]
[-no_ear_project]
-application <name of application>
ou-application_file <path to application file>
: L'un des deux est requis.- Si vous spécifiez
-application <name of application>
, indiquez le nom de l'application à examiner. - Si vous spécifiez
-application_file <path to application file>
, indiquez le chemin et le nom de fichier complet pour l'un de ces types de fichiers :- Fichiers d'application AppScan® Source (.paf).
- Espaces de travail Eclipse (.ewf)Remarque : Les fichiers .ewf sont générés lorsque vous utilisez
openapplication
pour ouvrir un répertoire d'espace de travail (en spécifiant son chemin d'accès). - Fichiers WAR (.war)
- Fichiers EAR (.ear)
- Windows uniquement : Fichiers d'espace de travail Microsoft™ Visual C++ (.dsw)
- Windows uniquement : Fichiers de solution Microsoft™ Visual Studio .NET (.sln)
Remarque : Pour savoir quelles versions des fichiers importés sont prises en charge par AppScan® Source for Analysis, AppScan® Source for Automation et l'AppScan® Source command line interface, voir Configuration requise et composants prérequis pour l'installation. Dans cette page, sélectionnez l'onglet de la version d'AppScan® Source que vous utilisez, puis sélectionnez le composant AppScan® Source que vous utilisez. Si AppScan® Source prend en charge l'ouverture et l'examen de fichiers provenant d'autres environnements de développement, cette prise en charge est indiquée à la section Compilateurs et langues de l'onglet Logiciels pris en charge.
- Si vous spécifiez
-name <assessment name>
: Facultatif. Un nom pour l'évaluation.-scanconfig <scan_configuration_name>
: Facultatif. Spécifiez le nom d'une configuration d'examen à utiliser pour l'examen. Si aucune configuration d'examen n'est indiquée, la configuration d'examen par défaut va être utilisée pour l'examen.-waitforlicense <wait_time>
: Facultatif. Spécifiez le temps d'attente en minutes pendant lequel un examen attend lorsqu'une licence AppScan® Source for Automation n'est pas disponible. Si aucun temps d'attente n'est indiqué à l'aide de-waitforlicense
, une valeur par défaut est obtenue à partir deCLI.ozsettings
. Le temps d'attente peut être désactivé en réglant la valeur sur 0.-save <filename>
: Facultatif. Enregistrer les résultats de l'évaluation dans ce fichier.-caller <caller>
: Facultatif. Permet d'affecter un appelant à l'opération. Il peut s'agir du nom d'un utilisateur réel, mais cela n'est pas une obligation. Le nom de l'appelant est consigné dans le fichier journalounceauto
.-publish
: Facultatif. Publier l'évaluation après l'examen.-clearcache
: Facultatif. Cette commande supprime le cache d'analyse de vulnérabilité et les données de signature des règles personnalisées avant l'examen.-report
: Facultatif. Générer un rapport après l'examen.- Options obligatoires de la commande
-report
:<report type>
: type de rapport. Il peut s'agir de rapports sur les constatations, de rapports AppScan® Source et de rapports personnalisés. Reportez-vous aux options indiquées dans la rubrique GenerateReport.<output format>
: Définir le format du rapport. Reportez-vous aux options indiquées dans la rubrique GenerateReport.<output location>
: L'emplacement où enregistrer le rapport.
- Options facultatives de la commande
-report
:-includeSrcBefore <n>
: Le nombre de lignes de code source à inclure avant chaque constatation.-includeSrcAfter <n>
: Le nombre de lignes de code source à inclure après chaque constatation.-includeTraceDefinitive
: Incluez les informations de trace dans le rapport pour les constatations définitives (voir Classifications pour plus de détails sur les classifications des constatations).-includeTraceSuspect
: Permet d'inclure des informations de trace des constatations suspectes dans le rapport.-includeTraceCoverage
: Permet d'inclure des informations de trace des constatations de couverture de l'examen.
- Options obligatoires de la commande
-export
: Facultatif. Exportez les constatations d'examen dans un fichier CSV ou SARIF. Si cette commande est utilisée, les options de commande suivantes sont requises.<export type>
: Format du rapport exporté, CSV ou SARIF.<output location>
: Chemin d'accès et nom du fichier dans lequel enregistrer le rapport.
-includeHowToFix
: Joignez des recommandations sur la façon de traiter et de corriger les constatations.-appserver_type
: Facultatif. Si l'application en cours d'ouverture inclut JavaServer Pages (par exemple, un fichier WAR ou EAR), utilisez ce paramètre pour indiquer le serveur d'application à utiliser pour la compilation de JSP. Indiquez l'un de ceux-ci entre guillemets :Tomcat 8
Tomcat 9
WebSphere 7.0
WebSphere 8.0
WebSphere 8.5
WebLogic 11g
WebLogic 12c
Remarque :- Avant de spécifier un serveur d'application, vérifiez qu'il a été configuré correctement dans les préférences AppScan® Source for Analysis.
- Si
-appserver_type
n'est pas utilisé, le compilateur JSP par défaut défini actuellement dans AppScan® Source for Analysis sera utilisé pour la compilation JSP. Prêt à l'emploi, Tomcat 9 est le compilateur JSP par défaut.
- Pour les fichiers :WAR
-include_all_lib_jars
: utilisez ce paramètre pour prendre en compte toutes les bibliothèques du fichier WAR lors de l'examen.-include_lib_jars
: utilisez ce paramètre pour préciser les bibliothèques du fichier WAR à prendre en compte lors de l'examen. Lorsque vous utilisez ce paramètre, n'incluez pas d'informations sur le chemin d'accès à la bibliothèque et séparez les différentes bibliothèques par des virgules.
-no_ear_project
: lors de l'importation d'un fichier EAR, un projet destiné au stockage des bibliothèques partagées est créé automatiquement. En l'absence de bibliothèques partagées, le fichier est quand-même créé, mais reste vide. Ce paramètre permet de ne pas créer de projet pour le fichier EAR.
Valeur de retour
L'ID de la demande en cas de réussite, ou -1 si la soumission de la demande n'a pas abouti.
Exemples
- Examinez l'application WebGoat, publiez-la et annotez le journal en indiquant que John Smith est l'appelant :
ounceauto scanapplication -application_file C:\WebGoat\WebGoat.paf -publish -caller JohnSmith
- Examinez l'application WebGoat et créez un rapport Constatations sous le répertoire C:\WebGoat directory. Dans le rapport, incluez les informations de trace pour les constatations définitives :
ounceauto scanapplication -application WebGoat -report Findings html C:\WebGoat\MyReport.html -includeTraceDefinitive
- Examinez un fichier WAR en ne prenant en compte que certaines bibliothèques :
ounceauto scanapplication -application_file c:\mywar.war -include_lib_jars lib1.jar,lib2.jar