Как просканировать код приложения на уязвимости с IBM Application Security on Cloud

Как то возникла надобность в выполнении сканирования исходного кода веб приложения на одном из проектов. Взор пал на очень хорошего вендора с давней историей и вроде как отличным качеством, что самое интересное - цена лицензий на их решения за последние пару лет просели и появились новые и более доступные солюшены вроде сканирования кода в облаке.

Ну собственно, что тут может быть трудного, подумал я и немного ошибся. Самая первая из трудностей - это скачать требующееся приложение для компиляции архива с исходным кодом в формате IRX, почему-то скорость отдачи там чуть ли не минимальная установлена со стороны IBM и архивчик размером 200мб качался порядка 15 минут (бред же?).

Вообще IBM Application Security on Cloud интересное решение конечно, в плане цены очень привлекательно - всего 200 баксов за скан кода приложения, при этом ничего не нужно деплоить у себя. Но вот вторая проблема была связана с официальной документацией, там слишком много лишней информации и отсутствовал какой либо вменяемый гайд по созданию специального XML файла, который как раз и является ключевым во всей этой эпопее, по этому поводу накидал небольшой гайдик "How to scan application with IBM Application Security on Cloud"



В целом там конечно не сложно, создать xml добавить пару строк, указать путь к папке с исходниками и начать компиляцию. Кстати, информацию по всем командам и ключам можно так же посмотреть в подлинкованном выше гайдике, для сборки архива IRX.