问题信息窗格

问题信息窗格显示该问题的所有可用内容。

要打开问题的“问题”窗格:
  • 问题页面上,单击具体问题。
    问题信息窗格将在屏幕右侧打开。
    提示: 您可以在信息窗格打开的情况下,通过在主页上选择不同的问题来切换问题和问题信息。当您选择不同的问题时,“问题信息”窗格会刷新。
在“问题”信息面板中,您可以从标题和以下几个选项卡之一查看与问题相关的特定信息:

标题

“标题”在每个选项卡中可见,记录了漏洞类型、问题严重性、状态和位置。“标题”还包含两项操作:

  • 单击共享以按链接或按问题标识共享问题。
  • 单击完整视图以在新的浏览器选项卡中打开完整问题详细信息。

"详细信息"选项卡

“详细信息”选项卡分部分显示问题详细信息的摘要,在可能的情况下包括包含或显示漏洞的代码部分。详细信息因扫描技术而异。

适用的情况下,问题详细信息包含复制图标 (),用于将信息复制到剪贴板。

扫描程序技术 详细信息 描述
DAST 差异 与原始请求不同而导致发现问题的参数。“测试请求和响应”部分也会以红色显示不同的调用。
原因 ASoC 将此标记为问题的原因。
测试请求和响应 与测试及其特定变体相关的信息,这些信息被发送到 Web 应用程序,以分析漏洞位置。红色字符串代表测试使用的不同请求(以差异表示);以黄色突出显示的字符串代表测试过程中的输入变化。
SCA 主要详细信息 代码中问题的位置。
相关 如果问题属于修复组,则提供指向关联修复组的链接。
SAST 位置 代码中问题的位置。根据问题类型的不同,位置信息可能还包括产生问题的 API,或者问题的来源(数据源点)和接收器(数据终点)信息。
调用跟踪 问题的上下文,或者应用程序漏洞部分感染数据的流动。“调用跟踪”部分包含图例,帮助您了解代码的不同区域,包括最佳修复点、备用修复点、来源、接收器和感染流。
自动修复 如果问题有可用的自动修复程序,将显示于此处。还会显示差异,原始代码为红色,修复代码为绿色。单击复制可复制修复代码。
相关 如果问题属于修复组,则提供指向关联修复组的链接。

“源代码”选项卡(仅 SAST)

“源代码”选项卡显示与问题关联的代码,便于更快、更有效地筛选问题。

缺省情况下,您可以浏览本地目录结构以查找源代码文件:
  • 单击添加目录将本地根源代码目录与问题相关联。
  • 将鼠标悬停在源代码中突出显示的漏洞上,以获得补救建议。
  • 通过“问题详细信息”窗格查看的源代码仍为私有源代码。该代码不会上载到 ASoC
如果扫描的 IRX 文件是在 GitHub 存储库中生成的,因此扫描包含将其链接到 GitHub 的信息:
  • 确保扫描期间可用的最后一个提交也在 GitHub 服务器上可用。
  • 在 GitHub 上单击打开文件以在新的浏览器选项卡中的 GitHub Web 界面打开文件。
  • 在 GitHub 中补救代码。

在这两种情况下,与源代码的连接都不会持久;在分类和补救期间,根据需要在每个浏览器会话都重新连接到源代码。

“如何修复”选项卡

“如何修复”选项卡提供有关原因、风险、漏洞利用示例、修复建议、CWE、相关文章和外部参考的详细信息。单击每个部分旁边的 > 可展开查看信息

在可能的情况下,单击问题名称正下方的相关代码名称(.Net、Angular、Apex 等)可以查看大量特定于代码的信息,面板右侧的下拉菜单中也提供这些信息。

“备注”选项卡

使用此选项卡可以添加您自己的注释,这些注释对您和其他用户可见,并包含在报告中。

“审计跟踪”选项卡

“审计”选项卡记录问题的更改详细信息。每行记录一次更改的日期和时间、执行更改的实体以及问题更改方式的详细信息。例如,问题类型或严重性的更改将记录在“审计”选项卡条目中。

“属性”选项卡

“属性”选项卡列出展开的问题详细信息,包括发现问题的时间和方式,以及问题类型、状态、严重性、扫描程序技术和位置,包括问题标识。

从“属性”选项卡中,您可以:
  • 单击问题标识以在当前浏览器选项卡中打开完整问题详细信息。
  • 单击复制图标 () 以将特定属性复制到系统剪贴板,以便粘贴到其他应用程序。
  • 单击复制属性以将所有列出的属性复制到系统剪贴板,以便粘贴到其他应用程序,如 Jira 项目。