在整合開發環境中掃描

如何在 Eclipse 或 Visual Studio 整合開發環境 (IDE) 安裝靜態分析外掛程式後,如何用於掃描原始碼。在 Eclipse 中,您可以掃描 Java 專案;而在 Visual Studio 中,您可以掃描 .NET(C#、ASP.NET、VB.NET)。

開始之前

依預設,在掃描 Java 和 .NET 時不會包含第三方程式碼。您可以遵循管理第三方 Java 和 .NET 排除中的指示來修改第三方程式碼排除設定。
  • 在 Eclipse 或 Visual Studio 中掃描時,如果要包含第三方程式碼, 請使用下列其中一個方法:
    • 啟動 ID 之前,先設定這個全域或系統環境變數:
      APPSCAN_OPTS=-DthirdParty
    • 每當使用 IDE 時,您可以在啟動 IDE 之前發出下列指令:
      set APPSCAN_OPTS=-DthirdParty
  • 或者,在 Eclipse 中掃描時,您可以這樣做:在啟動 Eclipse 之前先修改 eclipse.ini 檔,使 -vmargs 區段包含 -DthirdParty

如果您是通常會在掃描中排除第三方程式碼的開發人員,則應使用此設定來包含第三方程式碼。

此外,您可以使用 -Dscan_speed=<speed> 搭配 APPSCAN_OPTS 來指定掃描速度。例如,如果要將掃描速度設為balanced,請執行下列動作:
  • Windows:
    set APPSCAN_OPTS=-Dscan_speed=balanced
  • Linux 和 Mac:
    export APPSCAN_OPTS="-Dscan_speed=balanced"
預設掃描速度為deep

程序

若要掃描原始碼或是開啟評量或報告,請執行下列動作:
  1. 確定外掛程式已安裝到 IDE。在安裝期間,如果 IDE 已開啟,請將其重新啟動。
  2. 選取您要掃描的項目:
    • 在 Eclipse 中,選取您要掃描的一或多個專案。若要掃描整個 Eclipse 工作區,請選取所有專案。
    • 在 Visual Studio 中,選取您要掃描的解決方案、專案或網站。
  3. 用滑鼠右鍵按一下選項,然後選取安全分析 > 執行靜態分析
    如果您尚未登入服務,即會開啟登入對話框。
    註: 掃描程式碼或產生 IRX 檔案時,您可能會接收到關於更新至最新 Static Analyzer 指令行公用程式 的訊息。請參閱指令行公用程式 (CLI) 支援
  4. 請在登入對話框中,鍵入服務認證:
    AppScan on Cloud 服務中產生 API 金鑰時,您會接收到金鑰 ID金鑰密碼。請在「ID」和「密碼」欄位中輸入這些值。如果您尚未產生 API 金鑰,請遵循對話框中的連結以建立 API 金鑰。
    當您登入服務時,會建立一個加密金鑰檔。之後當與 ASoC 服務互動時,其他動作就會參照此記號檔。
  5. 啟動掃描之後,AppScan on Cloud 會藉由對話框提示您選擇要與掃描產生關聯的應用程式。您的 IDE 中的靜態分析掃描必須與現有的 AppScan on Cloud 應用程式相關聯。
  6. 在相同對話框中,使用「個人掃描」勾選框來指示掃描是否為個人掃描
  7. 在提交掃描之後,即會開啟我的掃描視圖。
  8. 當掃描完成時,將會開啟一個通知,其中有開啟「掃描問題」的連結。此外,還會更新我的掃描視圖以包含掃描。此視圖會列出掃描名稱、狀態、開始和結束的時間,以及發現漏洞的數目和嚴重性。
    1. 掃描問題:選取通知中的連結來開啟結果;或是按兩下視圖中「掃描問題」直欄中的圖示(在 Visual Studio 中也可以使用系統匣來開啟結果)。這樣會開啟互動式評量,其中列出由修正程式群組在掃描期間探索到的所有不符規範安全問題。修正群組代表分組的發現項目最常流經的共同節點。一般而言,如果對修正程式群組實作了修正程式,則可以事半功倍、提昇效率。修正程式群組也可視為可在該處同時檢閱相關發現項目的邏輯分組點。請注意,修正程式群組不一定是應放置修正程式的確切位置。未來的重構、程式碼實務和其他因素可能無法使用修正群組位置來進行修正。

      在評量中:

      • 每一個修正程式群組都會顯示建議的修正程式位置、開啟該修正程式位置來源的連結、 漏洞,以及在更正原始碼後將會修正的漏洞出現數目。
      • 如果您選取漏洞,即會開啟它的說明(通常附有範例和建議事項)。
      • 如果您選取「詳細資料」按鈕,修正程式群組即會開啟到在更正原始碼後將會修正的所有發現項目。在詳細視圖中,如果您選取原始碼位置,則它會在原始碼編輯器中開啟。選取追蹤圖示會開啟追蹤,其中顯示流經應用程式的資料流。
  9. 如果要開啟任何應用程式的不符規範問題:
    註: 不符規範問題是指超出 AppScan on Cloud 中應用程式所指定原則的問題。
    1. 選取「視圖 > 安全分析 > 應用程式問題」。
    2. 當系統提示時,請輸入您的服務認證。
    3. 從產生的對話框中的下拉清單選取應用程式,然後按一下「確定」。

結果

重要: 在整合開發環境中不支援重新掃描。