Portée de la validation et du codage

Depuis la vue Trace, vous pouvez spécifier des routines de validation et de codage personnalisées qui, une fois stockées dans la AppScan® Source Security Knowledgebase, marquent les données comme étant vérifiées plutôt qu'entachées. A l'aide de l'assistant Règles personnalisées, vous devez définir ces routines en fonction de leur portée.

Reportez-vous à la rubrique Exemple 4 : validation approfondie pour la procédure de création de routines de validation et de codage.

Les routines de validation ou de codage sont basées sur leur portée et sont définies comme :

spécifique à une API

Les routines de validation et de codage spécifiques à des API peuvent être associées à un projet unique ou à plusieurs projets.

Les routines spécifiques à une API désentachent les données provenant de toutes les instances d'une API source spécifique. Vous pourriez, par exemple, spécifier une routine de validation pour toutes les entrées de l'API :

javax.servlet.ServletRequest.getParameter
(java.lang.string):java.lang.string

Les routines spécifiques à une API sont stockées sur le serveur. Les routines spécifiques aux API d'un projet sont stockées dans le projet.

Spécifique à un site d'appel

Les routines spécifiques à un site d'appel sont toujours associées à un seul projet.

Les routines spécifiques à un site d'appel désentachent les données provenant d'un emplacement spécifique dans le code. Lorsque vous créez une routine de validation ou de codage spécifique à un site d'appel, vous spécifiez qu'elle s'applique à un site d'appel donné. Les routines spécifiques à un site d'appel sont toujours stockées dans le projet.

Remarque : Les routines spécifiques à un site d'appel s'appliquent à tous les appels de la routine de validation dans la même méthode.