Проблемы при анализе Java/Scala/Kotlin, как правильно загрузить код на анализ?
В процессе анализа AppScreener рассматривает промежуточное представление кода (его модель), а не сам текст исходного кода или инструкции исполняемого кода.
Для приложений на языках, которые компилируются в байт-код Java (языки Java, Scala, Kotlin, мобильные приложения для платформы Android), в качестве модели используется представление, близкое к самому байт-коду, поэтому для анализа он необходим.
Результаты анализа в обоих случаях отображаются на исходном коде. Отображение происходит с точностью до строки исходного кода, где была обнаружена уязвимость.
При анализе архива помимо исходного кода рекомендуется помещать в архив class-файлы проекта (байт-код), соответствующие переданному исходному коду. Это соответствует архивации каталога проекта после успешного завершения сборки.
При анализе исходного кода в виде архива или по ссылке на репозиторий, если убрать дополнительную настройку Не запускать сборку проекта, AppScreener проведет автоматическую сборку проекта с помощью средств maven, gradle или sbt. В таком случае проект должен собираться без ошибок на той машине, где установлен анализатор AppScreener.
При анализе Java/Scala/Kotlin/Android-приложений можно установить дополнительную настройку Анализировать библиотеки. В таком случае будут проанализированы рекурсивно вложенные jar-файлы, а также class-файлы, для которых в архиве не было обнаружено исходного кода (при анализе архива или по ссылке на репозиторий).
При анализе архива в формате .ear или .aar установите дополнительную настройку Анализировать библиотеки.