Configuration de l'Utilitaire de ligne de commande Static Analyzer

Pour réaliser l'analyse statique, téléchargez un petit Utilitaire de ligne de commande. Lorsque vous effectuez l'extraction de l'utilitaire sur votre disque local, vous pouvez utiliser son interface de ligne de commande (CLI) afin de réaliser une analyse de sécurité.

Pourquoi et quand exécuter cette tâche

Lorsque vous utilisez l'analyse statique, vous pouvez examiner du code source afin de générer un fichier qui est téléchargé vers le cloud. Le fichier chiffré IRX (.irx) est examiné à l'aide d'une analyse de trace afin de rechercher les vulnérabilités de sécurité.
  • Lorsque le fichier IRX est généré pour les langages compilés, des fichiers de bytecode d'application sont convertis en une représentation intermédiaire du code.
  • Lorsqu'un fichier IRX est généré pour des langages de script, le fichier IRX chiffré contient des fichiers source.
  • Lorsque vous utilisez les plug-ins Eclipse ou Visual Studio, la génération et le chargement de fichiers IRX s'effectuent automatiquement à partir de l'IDE.
Important : L'Utilitaire de ligne de commande ne doit pas être placé dans un répertoire contenant des caractères non ASCII.
Remarque : Pour générer un fichier IRX à l'aide d'AppScan Go!, suivez les instructions dans la section Configuration d'un examen à l'aide d'AppScan Go!.

Procédure

Pour configurer l'Utilitaire de ligne de commande :
  1. Sélectionnez la plateforme sur laquelle vous prévoyez d'exécuter l'Utilitaire de ligne de commande, puis cliquez sur Télécharger. Cette option permet de télécharger un fichier SAClientUtil_<version>_<os>.zip (où <version> est la version actuelle de l'Utilitaire de ligne de commande et <os> est le système d'exploitation pour lequel l'Utilitaire de ligne de commande est prévu).
    Remarque : Vous pouvez rouvrir le formulaire d'accueil en sélectionnant Comment créer un fichier IRX ? dans le formulaire pour sélectionner un fichier IRX.
  2. Extrayez le fichier sur une unité locale.
  3. Si vous prévoyez d'utiliser l'interface de ligne de commande pour la génération de fichier IRX, le téléchargement de fichiers IRX ou la gestion des examens : Ajoutez l'emplacement du répertoire \bin du fichier SAClientUtil_<version>_<os>.zip extrait vers votre variable d'environnement PATH. Si vous n'effectuez pas cette opération, toutes les commandes auront besoin d'être qualifiées à l'aide du répertoire \bin du fichier SAClientUtil_<version>_<os>.zip extrait à chaque fois que la commande sera émise.
    Conseil : Après modification du PATH, exécutez appscan version (Windows) ou appscan.sh version (Linux et macOS) à une invite de commande. Si la version, l'accueil et d'autres informations de l'Utilitaire de ligne de commande Static Analyzer s'affichent, le PATH est correctement défini.

Que faire ensuite

Si vous exécutez l'Utilitaire de ligne de commande sur un ordinateur qui se trouve derrière un serveur proxy, utilisez l'une de ces méthodes pour spécifier le proxy afin que l'Utilitaire de ligne de commande puisse se connecter au cloud :

  • Interface de ligne de commande Utilitaire de ligne de commande et environnements de développement intégré (IDE) pris en charge : Définissez cette variable d'environnement global ou système afin que le proxy soit automatiquement reconnu :
    • Windows : APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>
    • Linux et macOS : APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"

    <proxy> est le nom d'hôte du serveur proxy et <port> est le numéro de port qu'utilise le serveur proxy.

    Ou, chaque fois que vous utilisez l'interface de ligne de commande ou l'IDE (lancés à partir d'une invite de commande ou d'un terminal), vous pouvez définir l'Utilitaire de ligne de commande pour qu'il utilise le proxy en exécutant une commande :

    • Windows : set "APPSCAN_OPTS=-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
    • Linux et macOS : export APPSCAN_OPTS="-Dhttps.proxyHost=<proxy> -Dhttps.proxyPort=<port>"
  • Maven : Si vous avez ajouté le plug-in d'analyse statique à Maven, vous pouvez ajouter globalement la propriété à la variable d'environnement MAVEN_OPTS ou à chaque commande.
Remarque : Pour profiter au mieux de la fonctionnalité d'AppScan sur Cloud, tous les plug-ins et l'Utilitaire de ligne de commande Static Analyzer doivent être à jour :
  • Les mises à jour de l'Utilitaire de ligne de commande Static Analyzer sont disponibles régulièrement et les détails répertoriés dans Mises à jour récentes. Les mises à jour peuvent inclure :
    • Nouvelles langues prises en charge
    • Prise en charge de la langue mise à jour (nouveaux types de fichiers associés aux langues prises en charge, par exemple)
    • Nouvelles fonctions
    • Correctifs
  • Les plug-ins téléchargent automatiquement la version la plus récente de l'Utilitaire de ligne de commande Static Analyzer lorsqu'ils s'exécutent.
  • Si vous essayez de préparer du code à examiner à l'aide d'une version obsolète de l'Utilitaire de ligne de commande Static Analyzer, vous verrez peut-être un message vous demandant de mettre à jour l'utilitaire vers la dernière version. Effectuez la mise à niveau vers l'Utilitaire de ligne de commande Static Analyzer le plus récent en fonction de votre système d'exploitation (Windows, Linux, Mac).
  • Si vous utilisez AppScan Go!, acceptez et installez la mise à jour la plus récente, le cas échéant.