Welcome
筛选和分析
通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® Source 评估分类和对结果进行分析。
AppScan® Source 跟踪
利用 AppScan® Source 跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
用于跟踪的代码示例
本部分提供了代码示例，用于演示如何跟踪从源到接收器的被感染数据，以及如何创建验证和编码例程。

欢迎
欢迎阅读 HCL® AppScan® Source 文档。
新增功能
探索 AppScan® Source 中添加的新功能，并记下此发行版中已弃用的功能和能力。
正在安装
了解如何安装、升级和激活 HCL® AppScan® Source。
配置
了解如何在 HCL® AppScan® Source 中配置应用程序、文件夹和项目，以及设置特性和属性。
管理
了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL® AppScan® Source 中的集成。
扫描
本部分说明如何在 HCL® AppScan® Source 中扫描源代码和管理评估。
筛选和分析
通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® Source 评估分类和对结果进行分析。
- 显示发现结果
  “发现结果”视图或包含发现结果的任何视图都将针对每个扫描显示一个发现结果树（评估条件的分层分组）和一个发现结果表。发现结果树中选择的项确定了表中将出现的发现结果。
- AppScan® Source 分类过程
  筛选流程包括通过束、过滤器和排除来操控结果，以及对评估结果进行比较。
- 样本筛选
  此示例描述了安全分析人员所使用的 AppScan® Source 分类工作流程。筛选工作流程可能因您的业务需求而有所不同。
- 通过过滤器筛选
  AppScan® Source for Analysis 针对所有潜在安全性漏洞进行报告，并可能为中到大型代码库生成成千上万个发现结果。扫描时，您可能觉得发现结果列表中包含对您不重要的项。要从“发现结果”视图除去某些发现结果，可以选择预定义的过滤器，或者创建您自己的过滤器。过滤器可指定用于决定要从视图中除去哪些发现结果的条件。
- 通过排除进行分类
  扫描过后，您可确定与当前工作无关的发现结果，并且在对扫描结果分类时，使其在发现结果表中不可视。这些排除（或已排除的发现结果）将不再出现在“发现结果”视图中，而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。
- 处理束
  通过束（发现结果的分组机制），您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中，便可使用 AppScan Source for Development 来打开包含了束的项目，导入束，或者打开已保存的束文件 (file_name.ozbdl)。
- 使用静态分析修订组
  修订组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后，AppScan® Source 会根据漏洞类型和所需修复任务将问题组织到修订组中。
- 修改发现结果
  已修改的结果是已更改了漏洞类型、分类或严重性，或者具有注释的结果。“已修改的发现结果”视图显示当前应用程序（由于打开其评估而处于活动状态的应用程序）的这些发现结果。在“我的评估”视图中（仅在 AppScan® Source for Analysis 中可用），已修改列指示发现结果在当前评估中是否发生了更改。
- 比较发现结果
  使用差异评估操作或 AppScanDelta 实用程序来比较评估。比较两个评估时，两者之间的差异将显示在“评估差异”视图中或 .ozasmt 文件中。结果将汇总新、已修复/缺失和常见的发现结果。
- 定制发现结果
  要增强分析结果，可创建定制发现结果。这些是用户创建的发现结果，由 AppScan® Source for Analysis 将其添加到当前打开的评估或所选的应用程序。定制发现结果会影响评估度量，并可包含在报告中。创建后，定制发现结果将自动包含在对应用程序的将来扫描中。
- 解决安全问题以及查看修复帮助
  AppScan® Source 针对安全错误或常见设计缺陷向您发出警报，并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此流程。
- 支持的注释和属性
  扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性，那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。
- AppScan® Source 跟踪
  利用 AppScan® Source 跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
  - AppScan® Source trace扫描结果
    扫描结果可能包含由 AppScan® Source trace标识的跟踪。跟踪列中的图标指示存在调用图的跟踪。
  - 输入/输出跟踪
    如果 AppScan® Source for Analysis 可以跟踪从已知源到接收器或丢失的接收器的数据，那么会生成输入/输出跟踪。
  - 使用“跟踪”视图
  - 验证和编码作用域
    从“跟踪”视图，可以指定定制验证和编码例程，这些例程一旦存储在 AppScan® Source Security Knowledgebase中，就会将数据标记为已检查而不是已感染。通过“定制规则向导”，可基于这些例程的作用域对其进行定义。
  - 从 AppScan® Source trace创建定制规则
    您可以从“跟踪”视图创建定制规则，这样允许您可以使用跟踪来过滤感染传播器（而不是易受感染的影响）或接收器的结果。您还可以在跟踪中将方法标记为验证/编码例程（或指出它们是非验证/编码例程的）。
  - 用于跟踪的代码示例
    本部分提供了代码示例，用于演示如何跟踪从源到接收器的被感染数据，以及如何创建验证和编码例程。
    - 示例 1：从源到接收器
    - 示例 2：从源修改为接收器
      示例 2 是示例 1 代码的修改版。它通过添加名为 getVulnerableSource 的验证例程和名为 writeToVulnerableSink 的编码例程来增强示例 1。
    - 示例 3：不同的源和接收器文件
    - 示例 4：深度验证
      扫描示例 4 代码时，第一次扫描包含三个在对应跟踪例程中具有根的 AppScan® Source traces。假定在trace1 中选择 FileInputStream.read 方法，且添加 validate 例程。样本源代码之后的部分描述每个作用域对验证例程的影响。
报告
安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
扩展产品功能
了解如何扩展产品，以满足特定开发需求。
参考
查看 HCL® AppScan® Source 的参考信息，包括使用实用程序、插件和 API。
故障诊断和技术支持
在使用 HCL® AppScan® Source 时可帮助您进行问题故障排除的自助信息、资源和工具。

用于跟踪的代码示例

本部分提供了代码示例，用于演示如何跟踪从源到接收器的被感染数据，以及如何创建验证和编码例程。