重要概念
您在开始使用或管理 AppScan® 源代码 之前,应该让自己熟悉主要 AppScan® 源代码 概念。本部分定义基本 AppScan® 源代码 术语和概念。后续章节会重复这些定义以帮助您了解它们在 AppScan® Source for Analysis 中的上下文。
AppScan® Source for Analysis 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞,而扫描的结果是评估。束是个别发现项的已命名集合,并通过应用程序进行存储。
应用程序、其属性以及项目在 AppScan® Source for Analysis 中进行创建和组织:
- 应用程序:应用程序包含一个或多个项目及其相关属性。
- 项目:项目包含一组文件(包括源代码)及其相关信息(如配置数据)。项目总是应用程序的一部分。
- 属性:属性是应用程序的特征,有助于将扫描结果组织为有意义的分组(如按部门或项目主管)。您在 AppScan® Source for Analysis 中定义属性。
AppScan® Source for Analysis 的主要活动是扫描源代码并分析漏洞。评估提供对源代码的漏洞分析,包括:
- 严重性:高、中或低,指示风险级别
- 漏洞类型:漏洞类别,如 SQL 注入或缓冲区溢出
- 文件:文件:其中存在结果的代码文件
- API/源:易受攻击调用,显示向其传递的 API 和参数。
- 方法:发出易受攻击调用的函数或方法
- 位置:代码文件中包含易受攻击的 API 的行和列号
- 分类:安全性结果或扫描覆盖范围结果。有关更多信息,请参阅 分类。