Création de règles personnalisées depuis une AppScan® Source trace

Vous pouvez créer depuis la vue Trace des règles personnalisées qui vous permettent de filtrer les constatations comportant des traces qui sont des propagateurs de tâche, non vulnérables aux tâches ou des collecteurs. Vous pouvez également marquer les méthodes dans la trace comme des routines de validation/codage (ou indiquer qu'il ne s'agit pas de routines de validation/codage).

Pourquoi et quand exécuter cette tâche

Reportez-vous à la rubrique Exemple 2 : création d'une routine de validation/codage depuis la vue Trace pour consulter un exemple du code source, de la sortie et de la procédure de création des routines de validation et de codage.

Tableau 1. Marquages valides pour les noeuds de la vue Trace
Méthode sélectionnée Marquage valide
Nœuds intermédiaires
  • Routines de validation/codage
  • Non vulnérable aux taches
  • N'est pas une routine de validation/codage
Collecteur indéterminé
  • Propagateur de tache
  • Non vulnérable aux taches
  • Collecteur

Procédure

  1. Dans la vue Trace, cliquez avec le bouton droit de la souris sur la méthode ou le noeud pour lequel vous voulez créer une règle personnalisée, puis sélectionnez la règle personnalisée à créer, ou bien sélectionnez la méthode ou le noeud et cliquez sur le bouton de règle personnalisée approprié dans la barre d'outils. Les options de marquage des routines et des méthodes sont les suivantes :
    OptionDescription
    Marquer comme étant une routine de validation/codage Icône Marquer comme étant une routine de validation/codage
    Marquer comme n'étant pas une routine de validation/codage Icône Marquer comme n'étant pas une routine de validation/codage
    Marquer comme étant un propagateur de tâche Icône Marquer comme étant un propagateur de tâche
    Marquer comme non vulnérable aux tâches Icône Marquer comme non vulnérable aux tâches
    Marquer comme étant un collecteur Icône Marquer comme étant un collecteur
    Remarque : Si la vue Trace ne contient aucune entrée pour la méthode pour laquelle vous voulez créer une règle personnalisée, cliquez sur Lancez l'assistant de règles personnalisées pour ajouter une routine de validation ne figurant pas sur le diagramme de trace. Dans l'assistant Règles personnalisées, passez à la page Sélectionner une routine de validation/codage. Sélectionnez la routine de validation, puis indiquez l'emplacement, la portée, les sources ou collecteurs, ou les propriétés conformément aux instructions de l'étape suivante. Pour plus de détails sur la création d'une routine de validation à l'aide de cet assistant, voir Exemple 2 : création d'une routine de validation/codage depuis l'assistant Règles personnalisées.
  2. Si vous créez une règle personnalisée qui marque une méthode comme un collecteur ou une routine de validation/codage, vous devrez peut-être définir d'autres paramètres :
    1. Si vous marquez la méthode comme étant un collecteur, spécifiez les attributs du collecteur :
      • Type de vulnérabilité
      • Gravité
    2. Pour les routines de validation, indiquez l'emplacement et la portée, ainsi que toutes les sources ou les collecteurs, ou leurs propriétés, pour lesquels la routine de validation doit s'appliquer.Spécifiez comment appliquer cette routine de validation
      • Appliquer à :
        • cet appel de <nom méthode> (spécifique à un site d'appel) : s'applique aux entrées uniquement pour cet appel.
        • tout appel de <nom méthode> (spécifique à une API) : s'applique à la routine de validation/codage pour n'importe quel appel de la méthode.
        • <nom méthode> non pris en compte, toutes les contraintes spécifiées ci-dessous : autorise toutes les sources à être affectées par la règle.
      • Portée :
        • Appliquer à ce projet : lorsque ce paramètre est sélectionné, la règle est stockée dans le fichier de projet (.ppf).
        • Appliquer à tous les projets : Les règles de validation créées avec ce paramètre seront partagées avec d'autres utilisateurs.
      • Sources : sélectionnez les sources d'entrée auxquelles la routine de validation doit s'appliquer. Pour ajouter une source, cliquez sur Ajouter, puis sélectionnez la source dans la boîte de dialogue Sélectionner des signatures. Pour ajouter plusieurs sources, vous pouvez les sélectionner simultanément dans la boîte de dialogue Sélectionner des signatures.
      • Collecteurs : sélectionnez les collecteurs auxquels la routine de validation doit s'appliquer. Pour ajouter un collecteur, cliquez sur Ajouter, puis sélectionnez le collecteur dans la boîte de dialogue Sélectionner des signatures. Pour ajouter un collecteur, cliquez sur Ajouter, puis sélectionnez le collecteur dans la boîte de dialogue Sélectionner des signatures.
      • Propriétés de source : si vous voulez que la règle supprime les traces qui commencent dans une source ayant une propriété spécifique, cliquez sur Ajouter une propriété VMAT puis sélectionnez la propriété dans la boîte de dialogue Sélection des propriétés. Pour ajouter plusieurs propriétés, vous pouvez les sélectionner simultanément dans la boîte de dialogue Sélection des propriétés.
      • Propriétés de collecteur : si vous voulez que la règle écarte les traces qui se terminent dans un collecteur ayant une propriété spécifique, cliquez sur Ajouter une propriété VMAT puis sélectionnez la propriété dans la boîte de dialogue Sélection des propriétés. Pour ajouter plusieurs propriétés, vous pouvez les sélectionner simultanément dans la boîte de dialogue Sélection des propriétés.
  3. Après avoir créé des règles personnalisées dans la vue Trace, vous devez examiner à nouveau votre code pour voir ces règles reflétées dans les traces et les listes de constatations. Les règles personnalisées que vous créez dans la vue Trace peuvent être affichées et supprimées dans la vue Règles personnalisées. Pour afficher les détails d'une règle dans la vue Règles personnalisées, sélectionnez la règle et cliquez sur Informations de règle personnalisée.