跳转到主要内容
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
HCL AppScan Source
  1. Home icon
  2. Welcome
  3. 扩展产品功能

    了解如何扩展产品,以满足特定开发需求。

  4. HCL®AppScan® Source for Development (Eclipse Plug-in)

    通过 AppScan® Source for Development,您可以在现有开发环境中工作,并对 Java 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。

  5. 视图和窗口

    AppScan® Source for Development 视图和窗口提供对结果的备选表示法,支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示,或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。

  6. 报表视图

    通过“报告”视图,您可以根据度量了与软件安全最佳实践和法规要求的一致性的各种审计报告来组织扫描结果。

  7. CWE Top 25 2024 报告

    CWE Top 25 2024 报告基于 2024 年 CWE 最危险的 25 种软件错误。

Product logo

  • 欢迎

    欢迎阅读 HCL® AppScan® Source 文档。

  • 新增功能

    探索 AppScan® Source 中添加的新功能,并记下此发行版中已弃用的功能和能力。

  • 正在安装

    了解如何安装、升级和激活 HCL® AppScan® Source。

  • 配置

    了解如何在 HCL® AppScan® Source 中配置应用程序、文件夹和项目,以及设置特性和属性。

  • 管理

    了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL® AppScan® Source 中的集成。

  • 扫描

    本部分说明如何在 HCL® AppScan® Source 中扫描源代码和管理评估。

  • 筛选和分析

    通过对相似发现结果进行分组,安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® Source 评估分类和对结果进行分析。

  • 报告

    安全分析人员和风险管理员可以访问对选定结果的报告,或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。

  • 扩展产品功能

    了解如何扩展产品,以满足特定开发需求。

    • 定制漏洞数据库和模式规则

      本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。

    • 扩展应用程序服务器导入框架

      AppScan® Source 允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明,通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。

    • HCL®AppScan® Source for Development (Eclipse Plug-in)

      通过 AppScan® Source for Development,您可以在现有开发环境中工作,并对 Java 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。

      • 词汇表
      • AppScan® Source for Development server mode和local mode

        可在具有或不具有 AppScan® Source for Development 的情况下使用 AppScan Enterprise Server 插件。在server mode下,连接到服务器以允许扫描和访问共享数据。在local mode下,AppScan Source for Development 在不连接到 AppScan Enterprise Server 的情况下运行;您无法访问诸如过滤器、扫描配置和定制规则等共享项。

      • 创建变量

        要打开先前在 AppScan® Source for Analysis 中创建的依赖于路径变量的评估或束,您应该在开发环境中创建匹配的变量。创建变量确保该数据在多台计算机中可用。要共享评估数据,您必须定义相应变量。

      • 配置扫描

        根据扫描的项目类型和要进行的扫描类型,可能需要在运行扫描前先进行配置。例如,可以将项目配置为使用非缺省设置的 JDK 或 JSP 编译器。

      • 常规首选项

        通过常规首选项,可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。

      • 常规首选项

        通过常规首选项,可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。

      • 扫描工作空间、项目和文件

        您可以扫描 Eclipse 工作空间、项目或文件。这包括扫描 Java™(包括 Android)、JavaServer Pages (JSP) 项目。

      • 打开和保存评估

        AppScan® Source 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞,而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后,您可以将评估保存到文件。然后,您可以随时再次打开此评估。将评估另存为 filename.ozasmt。

      • 定制发现表

        在包含结果的所有视图(AppScan® Source for Analysis 中的“评估差异”视图除外)中,您都可以通过仅确认您希望看到的列以及列顺序来定制结果表。每个视图可能具有不同的设置,或者您可以将选项应用于所有视图。要定制列顺序,请遵循此任务主题中的步骤。

      • 将所选发现保存到评估

      • 搜索结果

        在包含结果的多个视图中,您可以搜索特定结果。搜索条件包括束、代码、文件、项目或漏洞类型。搜索结果在“搜索结果”视图中显示。

      • 修改发现结果

        已修改的结果是已更改了漏洞类型、分类或严重性,或者具有注释的结果。“已修改的发现结果”视图显示当前应用程序(由于打开其评估而处于活动状态的应用程序)的这些发现结果。在“我的评估”视图中(仅在 AppScan® Source for Analysis 中可用),已修改列指示发现结果在当前评估中是否发生了更改。

      • 解决安全问题以及查看修复帮助

        AppScan® Source 针对安全错误或常见设计缺陷向您发出警报,并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此流程。

      • 通过排除进行分类

        扫描过后,您可确定与当前工作无关的发现结果,并且在对扫描结果分类时,使其在发现结果表中不可视。这些排除(或已排除的发现结果)将不再出现在“发现结果”视图中,而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。

      • 创建和管理过滤器

        AppScan® Source 提供多种方法来创建和使用过滤器。用于创建过滤器的主视图(“过滤器编辑器”视图)提供强大的规则集,可以手动设置这些规则,然后保存到过滤器。“过滤器编辑器”视图还提供一种机制来管理您已创建的过滤器,使您能够对其进行修改或除去。此外,您还可以使用提供了结果的图形表示形式的视图来对结果表进行过滤,然后将这些过滤器保存在“过滤器编辑器”视图中。创建过滤器时,其他视图将更新以反映过滤器属性。

      • 支持的注释和属性

        扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性,那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。

      • 处理束

        通过束(发现结果的分组机制),您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中,便可使用 AppScan Source for Development 来打开包含了束的项目,导入束,或者打开已保存的束文件 (file_name.ozbdl)。

      • AppScan® Source 跟踪

        利用 AppScan® Source 跟踪,您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果,并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。

      • 视图和窗口

        AppScan® Source for Development 视图和窗口提供对结果的备选表示法,支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示,或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。

        • “评估摘要”视图

          “评估摘要”视图是一种打开的评估条形图图形视图,显示所选结果的信息。

        • “漏洞矩阵”视图

          “漏洞矩阵”视图显示扫描中所包含全部应用程序的结果的合计数量。对结果的修改将更新此矩阵。

        • “过滤器编辑器”视图

          “过滤器编辑器”视图提供比 AppScan® Source 视图更详细的对当前所选过滤器的处理。该视图包含您可以依据其过滤的所有条件。

        • 发现结果表

        • “发现结果”视图

          “发现结果”视图包含评估中发现结果的数据。这些发现结果可按本主题中列出的参数进行分组。

        • “已排除的发现结果”视图

          “已排除的发现结果”视图仅包含排除的发现结果。已排除的发现结果是您从扫描中省略的发现结果。在此视图中,您可以搜索特定发现结果。此视图中的列与“发现结果”视图中的列相同。

        • “已修改的发现结果”视图

          “已修改的发现结果”视图包含当前应用程序的所有已更改的结果。已修改的发现结果是漏洞类型、严重性、分类或说明发生过更改的结果。丢失的发现结果(未在当前打开的评估中的结果)以绿色斜体字显示且无法对其进行修改。

        • “已解析的发现结果”视图

          “已解析的发现结果”视图标识包含在捆绑包中但未包含在当前评估中的结果。结果标识为已修复/缺失的原因是已解决、已除去此结果或源文件未扫描。

        • “搜索结果”视图

          搜索结果时,将在“搜索结果”视图中显示结果。

        • “定制发现结果”视图

          “定制结果”视图显示当前打开的评估中存在的用户定义的或定制结果。在此视图中,您可以创建、删除和修改当前评估的定制结果。在“定制结果”视图中创建定制结果时,会将新的结果添加到当前评估,并且会更新评估度量值。

        • 报表视图

          通过“报告”视图,您可以根据度量了与软件安全最佳实践和法规要求的一致性的各种审计报告来组织扫描结果。

          • CWE Top 25 2024 报告

            CWE Top 25 2024 报告基于 2024 年 CWE 最危险的 25 种软件错误。

          • CWE Top 25 2021 报告

            CWE Top 25 2021 报告基于 2021 年 CWE 最危险的 25 种软件错误。

          • DISA 应用程序安全和开发 STIG V5R3 和 V6R3 报告

            本主题提供了 Defense Information Systems Agency (DISA) 应用程序安全和开发的安全技术实施指南 (STIG) Web 站点和指导信息文档的链接。

          • 开放式 Web 应用程序安全项目 (OWASP) Top 10 2017 和 2021 报告

            该主题提供了开放式 Web 应用程序安全项目 (OWASP) Web 站点以及指导信息文档的链接。

          • 开放式 Web 应用程序安全项目 (OWASP) Mobile Top 10 报告

            该主题提供了开放式 Web 应用程序安全项目 (OWASP) Web 站点以及指导信息文档的链接。

          • 支付卡行业数据安全标准 (PCI DSS) V4.0 报告
          • 软件安全概要文件报告

            软件安全概要文件表示对与应用程序安全直接相关的应用程序特征的综合分析。它提供了在软件中对特定项目的关键安全功能的详细审计。此报告帮助您在证明软件可部署之前验证对需求内容(如加密、访问控制、记录和错误处理)的实施。

        • “结果详细信息”视图

          选择结果后,“结果详细信息”视图将显示并允许您修改其属性。通过该视图,您可以修改单个结果。

        • “度量值”视图

          “度量值”视图逐个评估地提供统计信息,并且包含已扫描的代码行数、结果的总数、V-Density 以及 V/KLoC。

        • 束视图

          “束”视图列出与 AppScan® Source for Development 工作空间/应用程序(包括其包含的任何项目)关联的所有束(必须首先在 AppScan Source for Analysis 中创建了除已排除的束以外的任何束)。

        • “修复方式”视图

          AppScan® Source Security Knowledgebase提供各漏洞的特定于上下文的情报。Knowledgebase告诉您漏洞是什么,它为什么不安全,如何对其进行修复,以及如何在将来予以避免。扫描源代码之后,Knowledgebase 便会提供从任务关键应用程序中消除风险时需使用的特定信息。Knowledgebase 补救建议会在“修复方式”视图中显示。一旦进行了扫描,Knowledgebase便会提供从任务关键应用程序中消除风险所需的特定信息。

        • “跟踪”视图

          AppScan® Source 执行输入/输出分析并且识别和显示这些漏洞。结果列表中会出现一个图标以标识包含了 AppScan Source 跟踪图形的行。

        • “源和接收器”视图

          “源和接收器”视图提供基于对输入和输出的跟踪来查看结果的能力

        • Eclipse 编辑器和 AppScan® Source

          编辑器显示当前项目的源代码。当您在“结果”视图、“问题”视图或“捆绑”视图中浏览到错误时,将为编辑器中的对应代码行添加下划线。悬浮式帮助显示在左侧滚动条中。问题标记(指明代码漏洞的位置)显示在右侧滚动条中。

        • “问题”视图

          “问题”视图显示代码问题、错误和警告。双击问题、错误或警告的图标时,Java™ 编辑器将打开,其中问题代码将加上下划线。

      • 安装和用户数据文件位置

        安装 AppScan® Source 时,用户数据和配置文件存储在安装目录外。

      • CWE 支持

        常用弱点枚举 (CWE) 是一种行业标准列表,它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® Source 的当前版本中受支持的 CWE 标识。

      • Intelligent Findings Analytics (IFA)

        了解如何自动分类和分析来自 AppScan® Source 的结果。

  • 参考

    查看 HCL® AppScan® Source 的参考信息,包括使用实用程序、插件和 API。

  • 故障诊断和技术支持

    在使用 HCL® AppScan® Source 时可帮助您进行问题故障排除的自助信息、资源和工具。

 Feedback

CWE Top 25 2024 报告

CWE Top 25 2024 报告基于 2024 年 CWE 最危险的 25 种软件错误。

要了解 2024 CWE 最危险的 25 个软件安全漏洞,请参阅https://cwe.mitre.org/top25/archive/2024/2024_cwe_top25.html。

要了解 AppScan® Source 支持的所有常用弱点枚举 (CWE) 弱点,请参阅CWE 支持。

  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences