學習如何利用產品來進行開發。
將類似的發現項目分組,可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源 評量以及分析結果。
組合(發現項目的分組機制)可讓您從 AppScan® Source for Analysis 中,將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後,您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合,或開啟已儲存的組合檔 (file_name.ozbdl)。
建立組合是在「組合」視圖或含有發現項目表格的視圖中進行。您可以新增發現項目到現有的組合或新的組合中。
本節說明如何掃描原始碼及管理評量。
在「發現項目」視圖或任何含有發現項目的視圖中,每次掃描都會顯示一個「發現項目樹狀結構」(評量準則的階層式分組)和「發現項目表格」。您在發現項目樹狀結構中選取的項目,會決定呈現在表格中的發現項目。
分類程序包括透過組合、過濾器及排除項目來操作發現項目,以及比較評量結果。
這個範例說明安全分析師所用的 AppScan® 來源 分類工作流程。分類工作流程可能會隨著商業需求而不同。
AppScan® Source for Analysis 會報告所有潛在的安全漏洞,對於中型到大型程式碼庫,可能會產生數千個發現項目。掃描時,您可能會看到發現項目清單包含無關緊要的項目。如果要從「發現項目」視圖中移除特定發現項目,您可以選擇預先定義的過濾器,也可以建立自己的過濾器。過濾器用來指定一些準則,以決定要從視圖中移除哪些發現項目。
掃描之後,您可能決定某些發現項目與目前的工作無關,在分類掃描結果時,不要它們出現在發現項目表格中。這些排除項目(或已排除的發現項目)不會再出現在「發現項目」視圖中,變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目,只會影響到後續的掃描。
當您新增發現項目到組合中,發現項目會成為組合中的一列。如果開啟組合,您會見到組合所包含的所有發現項目。
您可以將組合儲存成檔案,以便在 AppScan® Source for Development 中開啟。組合也可讓您從 AppScan Source for Analysis 中,將發現項目的 Snapshot 匯入 AppScan Source for Remediation 中。
組合中的發現項目可以提交給公司的問題追蹤系統,或利用電子郵件傳送。只要將發現項目放在組合中,您就可以將這些發現項目當作錯誤來提交開發人員進行補救。
已修改的發現項目是漏洞類型、分類、嚴重性有了改變,或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式(因開啟其評量而在作用中的應用程式)的這些發現項目。在「我的評量」視圖(只限 AppScan® Source for Analysis)中,已修改直欄會指出發現項目是否在現行評量中有了改變。
使用差異評量動作來比較評量。比較兩項評量時,會將兩者之間的差異顯示在「評量差異」視圖中。這個視圖顯示新的、已修正/遺漏和共同的發現項目。
如果要加強您的分析結果,您可以建立自訂發現項目。這些是使用者建立的發現項目,AppScan® Source for Analysis 會將它們新增到目前開啟的評量中,或新增到所選的應用程式中。自訂發現項目會影響評量的度量,可以併到報告中。建立好之後,自訂發現項目會自動併入應用程式未來的掃描中。
AppScan® 來源 會發出安全錯誤或一般設計缺失的警示,且能夠在解決過程中提供協助。AppScan Source Security 知識庫(以及內部或外部的程式碼編輯器)可以在這個過程中提供協助。
掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間,當程式碼中發現支援的註釋或屬性時,會利用這項資訊,將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法,會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。
當使用 AppScan® 來源 追蹤時,您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目,將方法標示為驗證常式和編碼常式、來源或接收槽、回呼,或污染傳播者。
AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合,可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明,還有一個檔案,其中只含有隨著問題報告而提交的發現項目。
安全分析師和風險管理員可以存取所選取發現項目的報告,或一系列審核報告,這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
在「報告編輯器」中,您可以建立用來產生自訂報告的報告範本。
Help Center