Configuration des propriétés d'un projet en vue d'un examen de sécurité

Pour configurer un projet Java afin de le préparer à l'analyse de la sécurité, suivez les instructions de cette rubrique.

Procédure

  1. Sélectionnez Analyse de sécurité > Configurer l'analyse > Configurer la sécurité des projets dans le menu principal.
  2. Si votre espace de travail contient plusieurs projets, une boîte de dialogue s'ouvre pour vous permettre de choisir le projet. Dans cette boîte de dialogue, sélectionnez le projet à configurer, puis cliquez sur OK.
  3. Cliquez sur Configurer des kits JDK pour définir les préférences du compilateur Java et JSP, puis identifier le kit JDK à utiliser pour les examens en le sélectionnant dans la liste. AdoptOpenJDK 11 est utilisé par défaut. AppScan® Source propose également JDK 1.8 (64 bits) en sélection, ou vous pouvez ajouter un autre kit JDK. Si un autre JDK est spécifié, il doit être de 64 bits.
    Remarque : Prêt à l'emploi, le compilateur par défaut des projets JSP est Tomcat 7, qui requiert Java version 1.6 ou version ultérieure. Si Tomcat 7 est conservé par défaut et que vous sélectionnez un JDK plus ancien, des erreurs de compilation seront générées pendant les examens.
  4. Paramètres JSP : configurez les paramètres JSP requis pour le projet spécifié à l'aide des options ci-dessous :
    Tableau 1. Paramètres JSP
    Option Description
    Contient le contenu Web Cochez cette case si le projet est une application Web qui contient JavaServer Pages.
    Racine de contexte Web Sélectionnez manuellement la Racine de contexte Web ou cliquez sur Rechercher pour la localiser. La Racine de contexte Web est un fichier WAR ou un répertoire hébergeant le répertoire WEB-INF. La racine de contexte Web doit être la racine d'une application Web valide.
    Utiliser le compilateur JSP Sélectionnez le Compilateur JSP pour le projet. Prêt à l'emploi, Tomcat 7 est le compilateur JSP sélectionné par défaut (il est possible d'en changer sur la page de préférences Java et JSP). Pour en savoir plus sur les compilateurs pris en charge par AppScan® Source, voir Configuration requise et composants prérequis pour l'installation.

    Les versions d'Apache Tomcat versions 7 et 8 sont incluses dans l'installation d'AppScan® Source. Si les pages de préférences Tomcat 7 et Tomcat 8 ne sont pas configurées, AppScan® Source compile les fichiers JSP à l'aide du compilateur JSP Tomcat fourni et indiqué comme valeur par défaut. Si vous souhaitez employer un compilateur Tomcat externe pris en charge, utilisez les pages de préférences Tomcat pour pointer sur votre installation Tomcat locale.

    Si vous utilisez Oracle WebLogic Server ou WebSphere® Serveur d'applications, vous devez configurer la page de préférences correspondante, le but étant de désigner votre installation locale du serveur d'applications afin qu'elle puisse être utilisée pour la compilation du code JSP durant l'analyse. Si vous n'avez pas encore terminé cette configuration, un message vous demandera de la faire lorsque vous sélectionnerez le compilateur JSP. Si vous répondez Oui au message, la page de préférences appropriée s'affiche. Si vous répondez Non, un lien d'avertissement s'affiche à côté de la sélection du compilateur JSP (ce lien permet d'ouvrir la page de préférences).
  5. Codage du fichier : Le codage de caractères des fichiers dans votre projet doit être défini afin que AppScan® Source puisse lire ces fichiers correctement (et, par exemple, afin qu'il puisse les afficher correctement dans la vue Source). Le codage par défaut des fichiers peut être défini dans la page de préférences AppScan® Source.
  6. Optimisations de la compilation pré-examen :
    • Classes précompilées : Utilisez des fichiers de classe Java ou JSP précompilés au lieu d'effectuer une compilation au cours de l'examen. Lorsque cette option est sélectionnée, elle permet de désactiver les options d'étape source.
    • Transférer les fichiers source pour minimiser les effets des erreurs de compilation : permet de contrôler l'éventualité qu'AppScan® Source copie les sources vers le répertoire de transfert.

      La correction des packages qui ne correspondant pas à la structure du répertoire exige que le compilateur Java ouvre chaque fichier source.

      L'option Nettoyer la zone de préparation entre chaque examen garantit que la version la plus récente du code est compilée avant l'examen. Cela permet d'améliorer la précision des résultats. Cependant, il se peut que les performances soient réduites lorsque cette option est sélectionnée.