Portée de la validation et du codage
Depuis la vue Trace, vous pouvez spécifier des routines de validation et de codage personnalisées qui, une fois stockées dans la AppScan® Source Security Knowledgebase, marquent les données comme étant vérifiées plutôt qu'entachées. A l'aide de l'assistant Règles personnalisées, vous devez définir ces routines en fonction de leur portée.
Reportez-vous à la rubrique Exemple 4 : validation approfondie pour la procédure de création de routines de validation et de codage.
Les routines de validation ou de codage sont basées sur leur portée et sont définies comme :
spécifique à une API
Les routines de validation et de codage spécifiques à des API peuvent être associées à un projet unique ou à plusieurs projets.
Les routines spécifiques à une API désentachent les données provenant de toutes les instances d'une API source spécifique. Vous pourriez, par exemple, spécifier une routine de validation pour toutes les entrées de l'API :
javax.servlet.ServletRequest.getParameter
(java.lang.string):java.lang.string
Les routines spécifiques à une API sont stockées sur le serveur. Les routines spécifiques aux API d'un projet sont stockées dans le projet.
Spécifique à un site d'appel
Les routines spécifiques à un site d'appel sont toujours associées à un seul projet.
Les routines spécifiques à un site d'appel désentachent les données provenant d'un emplacement spécifique dans le code. Lorsque vous créez une routine de validation ou de codage spécifique à un site d'appel, vous spécifiez qu'elle s'applique à un site d'appel donné. Les routines spécifiques à un site d'appel sont toujours stockées dans le projet.