查看 HCL®AppScan® 源代码 的参考信息,包括使用实用程序、插件和 API。
Data Access API 提供对 AppScan® 源代码 所生成的评估结果(包括结果和结果详细信息)的访问权。它还提供对评估度量值如分析日期和时间、代码行、V-Density 和结果数的访问权。
AppScan® Source for Development 视图和窗口提供对结果的备选表示法,支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示,或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。
此部分中的视图用于配置 AppScan® 源代码。
在开始设计新报告之前,建议您先通过在报告编辑器中修改现有报告模板来熟悉报告创建过程。定制报告包括可用于发现结果报告的任何项,如发现结果信息、代码片段、AppScan® Source 跟踪和补救内容以及漏洞矩阵。在开始设计新报告之前,建议您先通过在“报告编辑器”中修改现有报告模板来熟悉报告创建过程。
您可以在编辑模板时预览 AppScan® Source for Analysis 报告。在“预览”窗格中,单击预览以查看针对打开的评估的报告。
欢迎使用 HCL®AppScan® 源代码 文档。
探索已添加到 AppScan® 源代码 的以下新功能,并请注意该发行版中已不推荐使用的任何功能部件和功能。
了解如何安装、升级和激活 HCL®AppScan® 源代码。
了解如何配置应用程序和项目,以及如何在 HCL®AppScan® 源代码 中设置属性和特性。
了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL®AppScan® 源代码 中的集成。
本部分说明在 HCL®AppScan® 源代码 中如何扫描源代码和管理评估。
通过对相似发现结果进行分组,安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源代码 评估分类和对结果进行分析。
安全分析人员和风险管理员可以访问对选定结果的报告,或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
了解如何扩展产品,以满足特定开发需求。
Ounce/Make 是一种从使用 makefile 的构建环境自动将配置信息导入 AppScan® 源代码 的工具。通过使用 Ounce/Make 方法,将无需手动从 makefiles 导入配置信息;这是用于配置这些项目的推荐方法。
makefile
makefiles
CLI 是核心 AppScan® 源代码 功能的界面。
此部分描述如何使用 Ounce/Ant,它是用于集成 AppScan® 源代码 和 Apache Ant 的 AppScan 源代码 构建实用程序。将 Ounce/Ant 与 Ant 环境集成有助于将构建和代码评估自动化。
您可以在 <install_dir>\sdk\sample\com\ouncelabs\sdk\sample(其中 <install_dir> 是 AppScan® 源代码 的安装位置) 包含的 SamplePublished.java 和 SampleSdk.java 文件中找到许多 Data Access API 方案的完整示例。
此部分描述 Ounce/Maven 插件,它使用 Maven(一种 Apache 构建工具)将 AppScan® 源代码 集成到 Maven 工作流程中。
通过 Automation Server (ounceautod),您可以在软件开发生命周期 (SDLC) 过程中使 AppScan® 源代码 工作流程的关键方面自动化,并且将安全性集成到构建环境中。通过 Automation Server,您可以将扫描和发布评估的请求进行排队,并生成有关应用程序代码安全性的报告。
ounceautod
AppScan® 源代码 提供了一组 Java™ API,使您可以添加对您应用程序中使用的框架的支持。在这些 API 中提供的类和方法使您可以处理没有提供内置支持的框架。
AppScan® Source for Analysis 包含了可用于帮助您熟悉产品的样本应用程序样本应用程序。
要充分利用 AppScan® 源代码,您应该了解 AppScan Source for Analysis 工作环境背后的基本概念以及如何使用最适合于您的工作流程的选项。
在“定制规则”视图中,可使用“定制规则向导”来创建定制规则。添加、查看或删除现有规则。
“资源管理器”视图在顶部包含快速启动部分,在底部包含资源管理器部分,该部分包含一个节点:所有应用程序。快速启动部分包含若干个启动常用操作的有用链接。资源管理器部分包含一个树形窗格,该窗格提供了资源(应用程序、项目、目录和项目文件)的分层视图,并以所有应用程序作为其根。浏览这些资源的方式与在文件浏览器中类似。在视图中浏览时,树的选择状态确定了“属性”视图中可用的选项卡。
基于模式的扫描是根据定制的搜索条件来对源代码进行的分析。“模式规则库”视图允许您按照语言来查看现有基于模式的规则(包括现成可用的 AppScan® 源代码 模式规则库)。此外,此视图还允许您为基于模式的扫描添加规则和模式。
“属性”视图的内容取决于在“资源管理器”视图中选择的项。属性可应用于所有应用程序、个别应用程序、项目或文件。可视的属性取决于语言或所选的项目类型。
通过“扫描配置”视图,您可以创建能够在启动扫描时使用的配置。还可以使用视图来设置缺省扫描配置。在扫描配置中,可以指定要在扫描期间使用的源规则,并且可以包含许多扫描设置。在扫描配置中所作的设置通常能够产生更佳的扫描结果,而保存这些设置的能力可使扫描更轻松且更省时。
“报告布局”选项卡包含“选用板”和“布局”部分,以及允许您指定在每个页面上显示的页眉或页脚的部分。
通过使用“类别”选项卡,可添加类别以包含基于束和属性的结果或所选择的选定结果。然后,在将某些项添加到布局时可使用这些类别。例如,在将“漏洞细分”添加到布局时,会将包含所有类别的漏洞数量细分情况(按严重性和分类排序)的表添加到布局。“类别”选项卡包含一个带有类别树的窗格和一个可在其中编辑选定类别的属性的窗格。每个类别都包含评估中满足您所定义的某些要求的发现项。
此部分中的视图用于查看和管理扫描输出。
此部分中的视图用于细致的扫描输出查看和管理。
此部分中的视图用于调查单独的结果。
此部分中的视图用于在高级别处理评估。
在“束”视图中,可新建束,向束中添加结果,查看束和说明,对束进行重命名或删除束。此视图列出了束名称、附加到束的任何说明、束中的结果数,以及束是否已排除。打开束查以看其内容时,可将结果移至其他束,修改结果,编辑代码,或者将束提交到缺陷跟踪系统。
常用弱点枚举 (CWE) 是一种行业标准列表,它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® 源代码 的当前版本中受支持的 CWE 标识。
了解该产品的通用术语。
帮助您在使用 HCL®AppScan® 源代码 时对问题进行故障诊断的自助信息、资源和工具。