Examens statiques (SAST)

Utilisez l’analyse statique afin d’examiner le code source et de détecter les éventuelles vulnérabilités de sécurité. A cette fin, téléchargez un petit utilitaire client et utilisez son interface de ligne de commande (CLI) pour effectuer l'analyse de sécurité sur tous les langages pris en charge. L'utilitaire client contient également un plug-in Maven qui peut être utilisé pour examiner les projets Java. Des plug-ins d'analyse statique pour Eclipse, IntelliJ IDEA et Visual Studio sont disponibles au travers de leurs marketplaces respectifs. Une fois les plug-ins installés, vous pouvez examiner des projets Java, dans Eclipse et IntelliJ IDEA ou des projets .NET (C#, ASP.NET, VB.NET) dans Visual Studio.

Avant de commencer

Pour en savoir plus sur les langages pris en charge pour les examens utilisant l'analyse statique, reportez-vous à Langages pris en charge.

Procédure

Pour examiner votre code :
  1. Téléchargez et configurez l'Utilitaire client Static Analyzer, comme décrit dans Configuration de l'Utilitaire client Static Analyzer.
  2. Examinez ou générez un fichier IRX pour votre code.
    1. Pour générer un fichier IRX à l'aide de l'interface de ligne de commande, suivez les instructions dans la section Génération d'un fichier IRX à l'aide de l'interface de ligne de commande. Vous pouvez examiner tous les langages pris en charge depuis l'interface de ligne de commande.
    2. Pour générer un fichier IRX pour un projet Maven, suivez les instructions dans la section Génération d'un fichier IRX pour un projet Maven.
    3. Pour examiner le code source dans Eclipse, IntelliJ IDEA ou Visual Studio, suivez les instructions fournies dans la section Examen dans des environnements de développement intégré. Vous pouvez examiner les projets Java dans Eclipse et IntelliJ IDEA, et les projets .NET (C#, ASP.NET et VB.NET) dans Visual Studio.
    Remarque : Lorsque vous examinez du code source ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire client le plus récent Voir Utilitaire client et compatibilité de la version du service de cloud.
  3. Si vous ne l'avez pas encore fait : Créez une application pour vos examens.
  4. Dans l'application, cliquez sur Créer un examen pour ouvrir l'assistant, puis sur Examen statique pour commencer à configurer votre examen.
  5. Onglet Charger le fichier : glissez et déposez votre fichier IRX dans la zone grise (ou cliquez pour sélectionner le fichier), puis cliquez sur Suivant.
  6. Onglet Préférences : vous pouvez opter pour l'exécution de votre examen en tant qu'examen personnel dont les problèmes de sécurité ne seront pas ajoutés aux problèmes de l'application dans son ensemble. Vous pouvez également désélectionner l'option par défaut qui vous envoie un e-mail lorsque l'examen est terminé.
  7. Clquez sur Vérifier et examiner pour accéder à la boîte de dialogue du récapitulatif.
  8. Vous pouvez éventuellement modifier le nom par défaut qui a été donné à l'examen (le nom du fichier APK avec une date et un horodatage).
  9. Cliquez sur Lancer l'examen maintenant.