修复组
修复组当前仅适用于在静态分析扫描中发现的问题。
修复组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后,AppScan 360° 会根据漏洞类型和所需补救任务将发现的问题组织到修复组中。在每个新的静态扫描中,系统会将新问题添加到这些组中,并根据需要创建新的修复组。
每个问题都属于一个修复组,此修复组显示在应用程序的修复组选项卡和扫描报告中。有三种类型的修复组:
- 公共修复点
- 包含具有相同漏洞的问题。整个组可以通过一个修复方法(一个代码点)来修复。
- 常见 API
- 包含与同一 API 调用相关的问题。如果具有相同根本原因的发现结果无法放入共同修复点组中,那么共同 API 组会将这些发现结果放在一起。这将减少审核结果和应用修复时的上下文切换。通常,每个受影响的发现结果的修复都类似;可以将同一个修复应用于组内的所有问题。
- 公共开源
- 包含第三方代码中根据找到这些问题的库标识的问题。针对应用程序中标识的每个易受攻击的库,创建一个修复组。根据特定库中找到的漏洞数,每个修复组可以有一个或多个漏洞。同一修复方法可以应用于组中的所有问题。
任何组中的问题始终具有相同的漏洞类型。
修复组严重性
修复组严重性由其包含的所有问题中的最高严重性确定。
修复组状态
仅当组中的所有问题的状态相同时,才会指定修复组状态。
当您更改组中所有问题的状态时,您可以选中自动应用于将来的问题复选框,以选择是否将相同的状态应用于从将来扫描中添加至该组的问题。请注意,自动应用于将来的问题选项(在 API 和审计跟踪用户界面中分别称为“StickyStatus”或“IsSticky”)是相同的。此外,选择此选项可防止您修改属于此组的任何单个问题的状态。
如果未选中自动应用于将来的问题复选框,并且从将来的扫描中添加了具有不同状态的新问题,则组的状态将更改为混合。
教程
“问题详细信息”窗格显示有关问题的全面信息,包括指示修复位置和相关问题属性的跟踪。