修正程式群組
「修正程式群組」目前僅套用至在「靜態分析掃描」中發現的問題。
修正程式群組是一種新方法,用來管理、分類及解決在靜態分析掃描中發現的問題。一旦您執行「靜態」掃描,AppScan 360° 就會根據漏洞類型和必要的補救作業,將發現的問題組織到「修正程式群組」。在每個新的「靜態」掃描中,新問題會新增至這些群組,並且視需要建立新群組。
每個問題都屬於單一「修正程式群組」,顯示在應用程式的「修正程式群組」標籤和「掃描報告」中。以下是修正程式群組的三種類型:
- 常見修正點
- 包含具有相同漏洞的問題。整個群組可以透過單一修正(一個程式碼點)進行補救。
- 指令 API
- 包含與相同 API 呼叫相關的問題。如果發現項目無法納入一般修正點群組,一般 API 群組會將根本原因相同的發現項目放在一起。這可在檢閱結果及套用修正程式時,減少環境定義切換。一般而言,每一個受影響的發現項目會有類似的修正程式;相同的修正程式可以套用至群組中的所有問題。
- 常見開放原始碼
- 包含協力廠商程式碼所識別的問題(以問題所在的程式庫為根據)對於應用程式中識別的每一個有漏洞的程式庫,系統會建立修正程式群組。每一個修正程式群組可以有一或多個漏洞,實際情況取決於特定程式庫中找到的漏洞數量。相同修正可以套用至群組中的所有問題。
任何群組中的問題一律會具有相同的漏洞類型。
修正程式群組嚴重性
「修正程式群組嚴重性」是由群組包含的所有問題中,最高的「嚴重性」來決定。
修正程式群組狀態
「修正程式群組狀態」只有在群組中的所有問題都具有相同「狀態」時才會指派。
當您變更群組中所有問題的狀態時,透過選取「自動套用到未來問題」勾選框,您可以選擇是否將相同狀態套用至從未來的掃描加入群組的問題。請注意,「自動套用到未來問題」選項,在 API 和審核追蹤使用者介面中亦分別稱為「StickyStatus」或「IsSticky」,它們是相同的。此外,選取這個選項會防止您修改這個群組所屬任何個別問題的狀態。
如果您不選取「自動套用到未來問題」勾選框,並從未來的掃描加入包含不同狀態的新問題,則群組的狀態將會變更為混合。
指導教學
問題詳細資料窗格會顯示全面的問題相關資訊,包括指出修正位置和相關問題內容的追蹤。