學習如何利用產品來進行開發。
將類似的發現項目分組,可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源 評量以及分析結果。
已修改的發現項目是漏洞類型、分類、嚴重性有了改變,或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式(因開啟其評量而在作用中的應用程式)的這些發現項目。在「我的評量」視圖(只限 AppScan® Source for Analysis)中,已修改直欄會指出發現項目是否在現行評量中有了改變。
本節說明如何掃描原始碼及管理評量。
在「發現項目」視圖或任何含有發現項目的視圖中,每次掃描都會顯示一個「發現項目樹狀結構」(評量準則的階層式分組)和「發現項目表格」。您在發現項目樹狀結構中選取的項目,會決定呈現在表格中的發現項目。
分類程序包括透過組合、過濾器及排除項目來操作發現項目,以及比較評量結果。
這個範例說明安全分析師所用的 AppScan® 來源 分類工作流程。分類工作流程可能會隨著商業需求而不同。
AppScan® Source for Analysis 會報告所有潛在的安全漏洞,對於中型到大型程式碼庫,可能會產生數千個發現項目。掃描時,您可能會看到發現項目清單包含無關緊要的項目。如果要從「發現項目」視圖中移除特定發現項目,您可以選擇預先定義的過濾器,也可以建立自己的過濾器。過濾器用來指定一些準則,以決定要從視圖中移除哪些發現項目。
掃描之後,您可能決定某些發現項目與目前的工作無關,在分類掃描結果時,不要它們出現在發現項目表格中。這些排除項目(或已排除的發現項目)不會再出現在「發現項目」視圖中,變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目,只會影響到後續的掃描。
組合(發現項目的分組機制)可讓您從 AppScan® Source for Analysis 中,將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後,您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合,或開啟已儲存的組合檔 (file_name.ozbdl)。
如果您要對多個檔案做相同的變更,您可能會想要透過發現項目表格來修改發現項目。如果您將修改個別的發現項目,請使用發現項目表格或「發現項目詳細資料」視圖。
選取發現項目時,隨即會顯示「發現項目詳細資料」視圖,可讓您修改發現項目的內容。使用這個視圖,您可以修改個別的發現項目。
如果您修改了發現項目,您可以利用這個主題所說明的方法來移除修改的部分(回復原始值)。
使用差異評量動作來比較評量。比較兩項評量時,會將兩者之間的差異顯示在「評量差異」視圖中。這個視圖顯示新的、已修正/遺漏和共同的發現項目。
如果要加強您的分析結果,您可以建立自訂發現項目。這些是使用者建立的發現項目,AppScan® Source for Analysis 會將它們新增到目前開啟的評量中,或新增到所選的應用程式中。自訂發現項目會影響評量的度量,可以併到報告中。建立好之後,自訂發現項目會自動併入應用程式未來的掃描中。
AppScan® 來源 會發出安全錯誤或一般設計缺失的警示,且能夠在解決過程中提供協助。AppScan Source Security 知識庫(以及內部或外部的程式碼編輯器)可以在這個過程中提供協助。
掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間,當程式碼中發現支援的註釋或屬性時,會利用這項資訊,將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法,會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。
當使用 AppScan® 來源 追蹤時,您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目,將方法標示為驗證常式和編碼常式、來源或接收槽、回呼,或污染傳播者。
AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合,可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明,還有一個檔案,其中只含有隨著問題報告而提交的發現項目。
安全分析師和風險管理員可以存取所選取發現項目的報告,或一系列審核報告,這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
在「報告編輯器」中,您可以建立用來產生自訂報告的報告範本。
您可以在「發現項目詳細資料」視圖中,修改個別的發現項目。如果您在表格中選取某個發現項目,然後開啟「發現項目詳細資料」視圖,就會出現所選的發現項目及其性質。
Help Center