Mode examen

Le mode examen indique si AppScan sur Cloud examinera les sorties de génération (.dll, .jar, etc.) ou les fichiers de code source dans les projets pour des langages spécifiques.

Spécifiez le mode examen dans AppScan Go! ou à l'aide de l'option code source uniquement dans l'utilitaire de ligne de commande (CLI). Par défaut, Static Analyzer n'analyse pas le code source pour les langages compilés (Java, .NET et C/C++). Pour ces langages, les utilisateurs ont la possibilité de spécifier le mode examen. Pour tous les autres langages, l'examen est uniquement effectué au niveau du code source.

Il est essentiel de comprendre les différentes méthodes d'examen pour réussir votre projet. Chaque examen a des utilisations, des exigences et des résultats spécifiques.

Examen du code source uniquement

Au début du cycle de développement du logiciel, l'examen du code source non compilé peut être un outil utile pour détecter les problèmes et confirmer l'approche programmatique avant que le projet ne soit trop avancé.

Généralement réalisés par les développeurs et nécessitant l'accès aux fichiers source, les examens du code source sont rapides, mais pas nécessairement aussi précis que les examens du code compilé. Les résultats des examens de code source uniquement identifient des vulnérabilités dans des lignes de code spécifiques. Ils n'indiquent pas les données de trace.

Vous pouvez spécifier l'examen du code source uniquement pour certains langages.

Bytecode/compilé (examen de la sortie de génération)

Lorsque l'on préfère la précision à la vitesse d'examen, les résultats de l'examen de génération peuvent vous aider à comprendre non seulement où se trouve une vulnérabilité dans une application, mais aussi l'impact de cette vulnérabilité. L'examen des sorties de génération est parfois appelé examen du "flux de données".

Les examens de sortie de génération requièrent l'accès à l'application entièrement générée. Les résultats de l'examen affichent des "traces" montrant le flux de données entachées dans l'application, depuis le point où elles entrent dans l'application jusqu'au point où les données sont utilisées (appelé le "collecteur"). La trace montre la ligne de code et la variable entachée à chaque point de la trace. Son apparence est similaire à une trace de pile d'exceptions.

L'examen des sorties de génération peut avoir des exigences supplémentaires, en fonction du type de projet :
  • Les dépendances d'application doivent être disponibles pour obtenir les résultats les plus complets et précis.
  • Par Java et .NET, bytecode est requis. L'application doit donc être générée avant l'exécution de l'examen.
  • Pour C/C++, une solution Visual Studio est requise.