静态分析发现项目和动态分析问题之间的差异

了解发现项目和问题之间的差异,以便使报告有意义。

了解动态分析问题在报告中的显示方式

动态安全问题的报告包含逻辑问题。对于每个逻辑问题,可能存在一个或多个已在其中识别了该问题的变体(变量,或稍微不同的方式)。

例如,对于特定 HTTP 请求,将在该请求上执行若干变更并发送回 web 服务器。这些测试中的许多测试都是相同的(发送的有效内容除外)。在某些情况下,它可能是单引号;在其他情况下,它可能是括号等。如果这些测试是肯定的,那么它们最有可能具有相同的根源并被一起分组在一个问题下。

这将减少完成扫描之后所需的分类工作量。许多问题都具有与其相关联的 10 个或更多变体,因此,它会减少报告中用户要处理的项数。此外,在修复过程中,如果向开发者指定问题,它也可用 -- 他们可以看到如何检测到此漏洞的若干示例,所有示例都位于同一个位置。

了解静态分析发现项目在报告中的显示方式

AppScan® Source 中,会为发现项目指定严重性和分类。分类本质上是在特定发现项目中的“置信度”。用于导入和组织 AppScan® Source 静态分析发现项目的方法在应用时与针对动态分析问题的方法基本上相同。在许多情况中,多个发现项目将应用于相同的逻辑问题中;将应用相同的根源和修复。

这些发现项目将在报告中分组在一起,每个 AppScan® Source 发现项目将视为相同逻辑问题的一种变体。在处理期间,一个发现项目将产生一个变体,可能存在完全重复的这类极少数情况除外,在种这情况下,将废弃重复。在导入期间将显示统计信息,以对处理发现项目的方式和将发现项目映射到问题的方式的分类进行说明。这不仅可将相关发现项目组织在一起,而且还可以减少对这些问题进行分类所需的总体工作量。

AppScan® Enterprise Server 中,将对问题(而非个别发现项目)进行管理(假设如果问题属于“误报”,那么该问题的所有变体也都属于误报,并假设如果问题“已修复”,那么该问题的所有变体也已修复)。