Examen dans des environnements de développement intégré

Comment examiner le code source à l'aide du plug-in d'analyse statique après son installation dans les environnements de développement intégré (IDE) Eclipse ou Visual Studio. Vous pouvez examiner les projets Java dans Eclipse, et les projets .NET (C#, ASP.NET et VB.NET) dans Visual Studio.

Avant de commencer

Par défaut, le code tiers n'est pas inclus lors de l'examen de projets Java et .NET. Vous pouvez modifier les paramètres d'exclusion de code tiers en suivant les instructions de la section Gestion d'exclusions Java et .NET tierces.
  • Pour inclure le code tiers à un examen dans Eclipse ou Visual Studio, utilisez l'une des méthodes ci-dessous :
    • Définissez cette variable d'environnement global ou système avant de démarrer l'ID :
      APPSCAN_OPTS=-DthirdParty
    • Dès que vous utilisez l'environnement de développement intégré, vous pouvez émettre une commande avant de le démarrer :
      set APPSCAN_OPTS=-DthirdParty
  • De même, lors d’un examen dans Eclipse, vous pouvez procéder comme suit : Modifiez votre fichier eclipse.ini avant de démarrer Eclipse afin que la section -vmargs comprenne -DthirdParty.

Si vous êtes un développeur de code tiers qui serait normalement exclu dans un examen, vous pouvez utiliser le paramètre permettant d'inclure le code tiers.

En outre, vous pouvez spécifier la vitesse d'examen à l'aide de -Dscan_speed=<speed> avec APPSCAN_OPTS. Par exemple, pour définir la vitesse d'examen sur balanced :
  • Windows :
    set APPSCAN_OPTS=-Dscan_speed=balanced
  • Linux et Mac :
    export APPSCAN_OPTS="-Dscan_speed=balanced"
La vitesse d'examen par défaut est deep.

Procédure

Pour examiner du code source et ouvrir des évaluations ou des rapports :
  1. Vérifiez que le plug-in est installé dans l'IDE. Si l'IDE était ouvert au cours de l'installation, redémarrez-le.
  2. Sélectionnez l'élément à examiner :
    • Dans Eclipse, sélectionnez le ou les projets à examiner. Pour examiner l'intégralité d'un espace de travail Eclipse, sélectionnez tous les projets.
    • Dans Visual Studio, sélectionnez les solutions, projets ou sites Web que vous souhaitez examiner.
  3. Cliquez avec le bouton droit de la souris sur la sélection, puis choisissez Analyse de sécurité > Exécuter l'analyse statique.
    Si vous n'êtes pas encore connecté au service, la boîte de dialogue Connexion s'ouvre.
    Remarque : Lorsque vous examinez du code ou générez un fichier IRX, vous pouvez recevoir un message relatif à la mise à jour vers l'Utilitaire de ligne de commande Static Analyzer le plus récent. Voir Support de l'utilitaire de ligne de commande (CLI).
  4. Dans la boîte de dialogue Connexion, saisissez les informations d'identification de votre service :
    Lorsque vous générez une clé d'API dans le service AppScan sur Cloud, vous recevez un ID de clé et un mot de passe de clé. Entrez ces valeurs dans les champs ID et Mot de passe. Si vous n'avez pas encore généré de clé d'API, suivez le lien dans la boîte de dialogue pour en créer une.
    Lorsque vous vous connectez au service, un fichier de clé chiffré est créé. Ensuite, d'autres actions vont faire référence à ce fichier jeton lorsqu'elles interagissent avec le service ASoC.
  5. Après le lancement de l'examen, AppScan sur Cloud vous invite, à l'aide d'une boîte de dialogue, à choisir l'application à associer à l'examen. Les examens utilisant l'analyse statique dans votre environnement de développement intégré doivent être associés à une application AppScan sur Cloud existante.
  6. Dans cette même boîte de dialogue, cochez la case Examen personnel pour indiquer si la recherche est un examen personnel.
  7. Après l'envoi de l'examen, la vue Mes examens s'ouvre.
  8. Lorsque l'examen est terminé, une notification s'ouvre et propose des liens permettant d'ouvrir Problèmes d'examen. En outre, la vue Mes examens est mise à jour afin d'inclure l'examen. La vue indique le nom de l'examen, son statut, l'heure de début et de fin, ainsi que le nombre et le niveau de sévérité des vulnérabilités détectées.
    1. Problèmes de l'examen : sélectionnez le lien dans la notification pour ouvrir le résultat ou double-cliquez sur l'icône de la colonne Problèmes de l'examen de la vue (dans Visual Studio, il est également possible d'ouvrir le résultat à l'aide de la barre d'état du système). Cela permet d'ouvrir une évaluation interactive qui mentionne tous les problèmes de sécurité non conformes révélés au cours de l'examen, par groupe de correctifs. Un groupe de correctifs représente le nœud le plus commun que parcourent les résultats regroupés. En règle générale, si un correctif est mis en œuvre pour un groupe de correctifs, vous pouvez obtenir le meilleur effet pour moins de travail. En outre, il est possible de considérer un groupe de correctifs comme un point de regroupement logique dans lequel on peut consulter les résultats associés en même temps. Il est à noter qu'un groupe de correctifs n'est pas l'emplacement exact auquel un correctif doit être placé. La restructuration future, les pratiques liées au code et d'autres facteurs peuvent empêcher l'utilisation de l'emplacement d'un groupe de correctifs pour un correctif.

      Dans l'évaluation :

      • chaque groupe de correctifs affiche l'emplacement du correctif recommandé, un lien qui permet d'ouvrir la source de l'emplacement de ce correctif, la vulnérabilité et le nombre d'occurrences de la vulnérabilité qui seront résolues si le code source est corrigé.
      • Si vous sélectionnez la vulnérabilité, sa description s'ouvre (généralement accompagnée d'exemples et de recommandations).
      • Si vous sélectionnez le bouton Détails, le groupe de correctifs s'ouvre sur tous les résultats qui seront résolus si le code source est corrigé. Dans la vue détaillée, si vous sélectionnez l'emplacement source, il s'ouvre dans l'éditeur de source. Sélectionnez l'icône de trace afin d'ouvrir une trace qui affiche le flux de données par le biais de l'application.
  9. Pour ouvrir les problèmes de non-conformité pour n'importe quelle application :
    Remarque : Les problèmes de non-conformité sont ceux qui ne relèvent pas des règles spécifiées pour l'application dans AppScan sur Cloud.
    1. Sélectionnez Vue > Analyse de sécurité > Problèmes de l'application.
    2. Si vous y êtes invité, entrez les données d'identification du service.
    3. Sélectionnez l'application dans la liste déroulante de la boîte de dialogue qui s'affiche, puis cliquez sur OK.

Résultats

Important : Le nouvel examen n'est pas pris en charge dans des environnements de développement intégré.