Configuration d'un examen à l'aide d'un fichier d'archive

AppScan sur Cloud prend en charge le chargement de fichiers d'archive de code en vue de les examiner sans générer au préalable de fichier IRX. Cela permet à l'utilisateur de gagner du temps en déléguant la préparation des fichiers à ASoC.

Types de chargements de fichiers par langage pour AppScan sur Cloud

Flux de travaux d'utilisateur courants pour ASoC :
  • Charger le code source et les artefacts de génération
  • Générer les fichiers IRX localement et charger les fichiers IRX
En fonction du langage examiné, le tableau suivant répertorie les types de fichiers à charger pour ces flux de travaux :
Important : Le nom de fichier ne doit contenir que des caractères ASCII.
Langue Charger le code source Charger le code source + les artefacts de génération Charger le fichier IRX (générer le fichier IRX localement)
C/C++ Pour analyser les types de fichiers répertoriés comme « code source uniquement » dans le tableau de prise en charge des langages. Pour analyser les types de fichiers de bytecode répertoriés dans le contenu par défaut dans le tableau de prise en charge des langages.
Java et contenu Web Java Non applicable

  • .jar

    Personnalisez la cible d'examen et les dépendances à l'aide du fichier de configuration.

  • .class

    Structure du répertoire d'archivage contenant les fichiers de classe,

  • .war
    Remarque : Tomcat est le compilateur JSP par défaut.

  • .ear
  • .jar et .class, lorsque toutes les dépendances ne peuvent pas être incluses dans l'archive
  • .war, si la compilation JSP nécessite un serveur Web autre que Tomcat
.NET Pour analyser les types de fichiers répertoriés comme « code source uniquement » dans le tableau de prise en charge des langages.1 Pour analyser les types de fichiers de bytecode répertoriés dans le contenu par défaut dans le tableau de prise en charge des langages.
Autres

Toujours. appscan-config n'est pas nécessaire.

L'archive doit contenir l'intégralité de la structure de répertoire du code cible à examiner.

Comportements spécifiques au langage

Java

Lors de l'examen de fichiers d'archive de code Java, le comportement par défaut de ASoC consiste à effectuer une analyse des flux de données (DFA) et à analyser uniquement le bytecode. La fonctionnalité par défaut n'examine pas le code source.

Pour n'examiner le code source qu'à partir de fichiers d'archive de code Java, sans examiner le bytecode, spécifiez sourceCodeOnly=true dans le fichier appscan-config.xml.

C/C++ et .NET

Lors de l'examen de fichiers d'archive C/C++ et .NET, le comportement par défaut de ASoC consiste à n'examiner que le code source. Les binaires contenus dans le fichier sont ignorés.
Remarque : Les assemblages .NET ne sont pas pris en charge.

Autres langages

Lors de l'examen de fichiers d'archive pour d'autres langages, le comportement par défaut de ASoC consiste à n'examiner que le code source.

Limitations de l'examen des fichiers d'archive

Les limitations suivantes s'appliquent à l'examen des fichiers d'archive :
  • Les assemblages .NET ne sont pas pris en charge.
  • Les fichiers de solution Visual Studio (.sln) ne sont pas pris en charge.
  • Les fichiers .gem de Ruby ne sont pas pris en charge.
  • Lorsque vous vous préparez à examiner du code à partir d'un système Linux, veillez à ne pas utiliser de noms réservés Windows au moment de la création des fichiers d'archive. Par exemple, .aux, .com, .nul, etc. Notre analyse s'exécute sous Windows et ne peut donc pas traiter de tels noms de fichiers.