問題資訊窗格
「問題資訊」窗格會顯示該問題的所有可用內容。
如果要開啟問題的「問題」窗格,請執行下列動作:
- 在「問題」頁面上,按一下特定問題。「問題資訊」窗格即會在畫面右側開啟。提示: 您可以在主要頁面上選取不同的問題和問題資訊,並開啟資訊窗格,在問題之間切換。當您選取不同的問題時,問題資訊窗格會重新整理。
標頭
標頭附註漏洞類型、問題嚴重性、狀態和位置,可從每個標籤中看到。它也有兩個動作:
- 按一下「完整檢視」,在新的瀏覽器分頁中開啟完整的問題詳細資料。
「詳細資料」標籤
「詳細資料」標籤以區段顯示問題詳細資料摘要,包括含有或顯示漏洞的程式碼部分(如適用)。詳細資料會因掃描技術而異。
在適當的情況下,問題詳細資料會包含複製圖示 (),以將資訊複製到剪貼簿。
掃描器技術 | 詳細資料 | 說明 |
---|---|---|
DAST | 差異 | 從原始要求變更的參數,導致識別到問題。不同呼叫也會在「測試要求與回應」區段中以紅色顯示。 |
原因 | 為何 AppScan 360° 將此項目標記為問題。 | |
測試要求與回應 | 測試及其特定變式(已傳給您的 Web 應用程式來探索其弱點所在)的相關資訊。紅色字串表示測試使用的不同要求(以「差異」表示);黃色反白的字串表示輸入變更作為測試的一部分。 | |
SAST | 位置 | 程式碼中問題的位置。視問題類型而定,位置資訊也可能包括問題產生的 API,或問題的來源(資料來源)和接收槽(資料結束處)資訊。 |
呼叫追蹤 | 問題的內容,或流經應用程式區段(包含漏洞)的污染資料流程。「呼叫追蹤」區段包含圖例,可協助您瞭解程式碼的不同區域,包括最佳修正點、替代修正點、來源,接收槽和污染流程。 | |
自動修正 | 如果自動修正適用於該問題,它會顯示在此處。與原始程式碼的差異會以紅色顯示,修正的程式碼則以綠色顯示。按一下「複製」以複製修正的程式碼。 | |
相關 | 如果問題屬於修正群組,則會連結至相關聯的修正群組。 |
原始碼標籤(僅限 SAST)
「原始碼」標籤會顯示與問題相關聯的程式碼,以更快速並更有效率地進行問題分類。
依預設,您可以瀏覽本端目錄結構中的原始碼檔案:
- 按一下「新增目錄」以建立本端根原始碼目錄與問題的關聯。
- 將滑鼠指標暫留在原始碼中強調顯示的漏洞上,以取得補救建議。
- 透過問題詳細資料窗格檢視的原始碼仍保持為私人。不會上傳至 AppScan 360°。
如果掃描的 IRX 檔案是在 GitHub 儲存庫中產生,因此掃描會有連結至 GitHub 的資訊:
- 確保 GitHub 伺服器上也提供掃描期間可用的最後認可。
- 按一下「GitHub 上的開啟檔案」,在 GitHub 網路介面上以新瀏覽器分頁開啟檔案。
- 修補 GitHub 中的程式碼。
在任一執行個體下,與原始碼的連線並不會持續;在分類和補救期間,會視需要重新連線至每個瀏覽器階段作業的原始碼。
「如何修正」標籤
「如何修正」標籤提供有關原因、風險、惡意探索範例、修正建議、CWE、相關文章和外部參照的詳細資訊。按一下每個區段旁的 >,以展開資訊
可能的話,按一下問題名稱正下方以及窗格右側下拉式清單中的相關程式碼名稱(.Net、Angular、Apex 等等),即可選取大量程式碼特定資訊。
「註解」標籤
使用此標籤來新增您自己的註解,該註解會向您及其他使用者顯示並包含在報告中。
「審核追蹤」標籤
「稽核」標籤附註問題的變更詳細資料。每個變更的列都會附註變更日期與時間、進行變更的實體,以及問題變更的詳細資料。例如,問題類型或嚴重性的變更會記錄在「稽核」標籤項目中。
「內容」標籤
「內容」標籤會列出展開的問題詳細資料,包括問題的發現方式與時間、類型、狀態、嚴重性、掃描器技術以及地點,並包括問題 ID。
從「內容」標籤,您可以:
- 按一下問題 ID,在目前的瀏覽器分頁中開啟完整問題詳細資料。
- 按一下複製圖示 (),將特定內容複製到系統剪貼簿,以便貼到其他應用程式。
- 按一下「複製內容」,將所有列出的內容複製到系統剪貼簿,以便貼到其他應用程式,例如 Jira 項目。