ScanApplication

Description

Examinez l’application spécifiée et effectuez d’autres actions liées à l’examen.

Syntaxe

ounceauto ScanApplication
-application <name of application>|
  -application_file <path to application file>
[-name <assessment name>]
[-scanconfig <scan_configuration_name>]
[-save <filename>]
[-caller <caller>]
[-publish]
[-clearcache]
[-report <report type> <output format>
<output location>]
[-includeSrcBefore <n>]
[-includeSrcAfter <n>]
[-includeTraceDefinitive]
 on[-includeTraceSuspect]
[-includeTraceCoverage]
[-appserver_type]
[-include_all_lib_jars] 
[-include_lib_jars] 
[-no_ear_project]
  • -application <name of application> ou :-application_file <path to application file> l’un des deux est requis.
    • Si vous spécifiez -application <name of application>, indiquez le nom de l'application à examiner.
    • Si vous spécifiez -application_file <path to application file>, indiquez le chemin et le nom de fichier complet pour l'un de ces types de fichiers :
      • Fichiers d'application AppScan® Source (.paf).
      • Espaces de travail Eclipse ou Rational® Application Developer for WebSphere® Software (RAD) (.ewf)
        Remarque : Les fichiers .ewf sont générés lorsque vous utilisez openapplication pour ouvrir un répertoire d'espace de travail (en spécifiant son chemin d'accès).
      • Fichiers WAR (.war)
      • Fichiers EAR (.ear)
      • Projets Xcode (.xcodeproj)
      • Espaces de travail Xcode (.xcworkspace)
      • Windows uniquement : Fichiers d'espace de travail Microsoft™ Visual C++ (.dsw)
      • Windows uniquement : Fichiers de solution Microsoft Visual Studio .NET (.sln)
      Remarque : Pour savoir quelles versions des fichiers importés sont prises en charge par AppScan Source for Analysis, AppScan Source for Automation et l'AppScan Interface de ligne de commande Source, voir Configuration requise et composants prérequis pour l'installation. Dans cette page, sélectionnez l'onglet de la version d'AppScan Source que vous utilisez, puis sélectionnez le composant AppScan Source que vous utilisez. Si AppScan Source prend en charge l'ouverture et l'examen de fichiers provenant d'autres environnements de développement, cette prise en charge est indiquée à la section Compilateurs et langues de l'onglet Logiciels pris en charge.
  • -name <assessment name> : Facultatif. Un nom pour l’évaluation.
  • -scanconfig <scan_configuration_name> : Facultatif. Spécifiez le nom d’une configuration d’examen à utiliser pour l’examen. Si aucune configuration d’examen n’est indiquée, la configuration d’examen par défaut va être utilisée pour l’examen.
  • -save <filename> : Facultatif. Enregistrer les résultats de l’évaluation dans ce fichier.
  • -caller <caller> : Facultatif. permet d’affecter un appelant à l’opération. Il peut s'agir du nom d'un utilisateur réel, mais ceci n'est pas requis. Le nom de l'appelant est consigné au fichier journal ounceauto.
  • -publish : Facultatif. Publier l'évaluation après l'examen.
  • -clearcache : Facultatif. Cette commande supprime le cache d'analyse de vulnérabilité et les données de signature des règles personnalisées avant l’examen. Si l’analyse incrémentielle Java est activée, l’examen sera un examen complet.
  • -report : Facultatif. Générer un rapport après l’examen.
    • Options obligatoires de la commande :-report
      • <report type> : type de rapport. Il peut s'agir de rapports sur les constatations, de rapports AppScan Source et de rapports personnalisés. Reportez-vous aux options indiquées dans la rubrique GenerateReport.
      • <output format> : Définir le format du rapport. Reportez-vous aux options indiquées dans la rubrique GenerateReport.
      • <output location> : L’emplacement de la sauvegarde du rapport.
    • Options facultatives de la commande :-report
      • -includeSrcBefore <n> : Le nombre de lignes de code source à inclure avant chaque constatation.
      • -includeSrcAfter <n> : Le nombre de lignes de code source à inclure après chaque constatation.
      • -includeTraceDefinitive : Incluez les informations de trace dans le rapport pour les constatations définitives (voir Classifications pour plus de détails sur les classifications des constatations).
      • -includeTraceSuspect : Permet d’inclure des informations de trace des constatations suspectes dans le rapport.
      • -includeTraceCoverage : Permet d’inclure des informations de trace des constatations de couverture de l'examen.
  • -appserver_type : Facultatif. Si l'application en cours d'ouverture inclut JavaServer Pages (par exemple, un fichier WAR ou EAR), utilisez ce paramètre pour indiquer le serveur d'application à utiliser pour la compilation de JSP. Indiquez l'un de ceux-ci entre guillemets :
    • Tomcat 7
    • Tomcat 8
    • WebSphere 7.0
    • WebSphere 8.0
    • WebSphere 8.5
    • WebLogic 11g
    • WebLogic 12c
    Remarque :
    • Avant de spécifier un serveur d'application, vérifiez qu'il a été configuré correctement dans les préférences AppScan Source for Analysis.
    • Si -appserver_type n'est pas utilisé, le compilateur JSP par défaut défini actuellement dans AppScan Source for Analysis sera utilisé pour la compilation JSP. Prêt à l'emploi, Tomcat 7 est le compilateur JSP par défaut.
  • Pour les fichiers :WAR
    • -include_all_lib_jars : utilisez ce paramètre pour prendre en compte toutes les bibliothèques du fichier WAR lors de l'examen.
    • -include_lib_jars : utilisez ce paramètre pour préciser les bibliothèques du fichier WAR à prendre en compte lors de l'examen. Lorsque vous utilisez ce paramètre, n’incluez pas d’informations sur le chemin d'accès à la bibliothèque et séparez les différentes bibliothèques par des virgules.
  • -no_ear_project : lors de l'importation d'un fichier EAR, un projet destiné au stockage des bibliothèques partagées est créé automatiquement. En l'absence de bibliothèques partagées, le fichier est quand même créé, mais reste vide. Ce paramètre permet de ne pas créer de projet pour le fichier EAR.

Valeur renvoyée

L’ID de demande en cas de réussite ou -1 si la soumission de demande a échoué.

Exemples

  • Examinez l’application WebGoat, publiez-la et annotez le journal en indiquant John Smith comme l’appelant :
    ounceauto scanapplication -application_file C:\WebGoat\WebGoat.paf
-publish -caller JohnSmith
  • Examinez l'application WebGoat et créez un rapport Constatations sous le répertoire C:\WebGoat directory. Dans le rapport, incluez les informations de trace pour les constatations définitives :
    ounceauto scanapplication -application WebGoat
-report Findings html C:\WebGoat\MyReport.html
-includeTraceDefinitive
  • Examinez un fichier WAR en ne prenant en compte que certaines bibliothèques :
    ounceauto scanapplication -application_file c:\mywar.war 
-include_lib_jars lib1.jar,lib2.jar