配置项目属性以进行安全扫描

要配置 Java 项目以进行安全扫描,请遵循本主题中的指示信息。

过程

  1. 从主菜单选择安全性分析 > 配置扫描 > 配置项目的安全性
  2. 如果工作空间中包含多个项目,那么“选择项目”对话框将打开。在此对话框中,选择要配置的项目,然后单击确定
  3. 单击配置 JDK 以设置 Java 和 JSP 编译器首选项,然后通过在列表中选择 JDK 来标识要用于扫描的 JDK。缺省情况下,使用 AdoptOpenJDK 11AppScan® 源代码 同样也提供 JDK 1.8(64 位)选项,或者您也可以添加其他 JDK。如果指定了备用 JDK,它必须为 64 位。
    注: JSP 项目的缺省编译器是 Tomcat 9,后者需要 Java V1.8 或更高版本。如果 Tomcat 8 保留为缺省值,那么使用更低版本的 JDK 将导致扫描期间出现编译错误。
  4. JSP 设置:使用以下选项为指定项目配置必要的 JSP 设置:
    1. JSP 设置
    选项 描述
    包含 web 内容 如果项目是包含 JavaServer Pages 的 Web 应用程序,选中此复选框。
    Web 上下文根 手动选择 Web 上下文根,或者单击查找以找到此根。Web 上下文根是包含 WEB-INF 目录的 WAR 文件或目录。Web 上下文根必须是有效 Web 应用程序的根目录。
    使用 JSP 编译器 为项目选择 JSP 编译器。现成可用的 Tomcat 9 是缺省 JSP 编译器设置(缺省 JSP 编译器可以在 Java 和 JSP 首选项页面中进行更改)。要了解 AppScan® 源代码 支持的编译器的相关信息,请参阅系统需求和安装必备软件

    Apache Tomcat 版本 8 和 9 包含在 AppScan® 源代码 的安装中。如果未配置 Tomcat 8Tomcat 9 首选项页面,那么 AppScan® 源代码 将使用当前提供且标记为缺省选项的 Tomcat JSP 编译器来编译 JSP 文件。如果您想要运用外部受支持 Tomcat 编译器,请使用 Tomcat 首选项页面来指向本地 Tomcat 安装版。

    如果使用的是 Oracle WebLogic ServerWebSphere® Application Server,那么必须将适用的首选项页面配置为指向应用程序服务器的本地安装版,以便其可在分析期间用于 JSP 编译。如果尚未完成该配置,那么选择 JSP 编译器时将显示一条消息以提示您完成配置。如果单击消息中的,那么您将被转至相应的首选项页面。如果单击,那么 JSP 编译器选择旁边将显示一条警告链接(访问该链接将打开首选项页面)。

  5. 文件编码:必须对项目中文件的字符编码进行相应设置,以便 AppScan® 源代码 可以正确读取这些文件(并且例如,在源视图中正确显示这些文件)。缺省文件编码可在 AppScan® 源代码 首选项页面中进行设置。
  6. 预扫描编译优化
    • 预编译类:使用预编译的 Java 或 JSP 类文件而不是在扫描期间进行编译。选中时,此选项禁用源阶段选项。
    • 登台源文件以将编译错误的影响最小化:控制 AppScan® 源代码 是否将源复制到登台目录。

      更正与目录结构不匹配的软件包需要 Java 编译器才能打开每个源文件。

      清除各扫描之间的登台区域可确保在进行扫描前,已对最新版本的代码进行了编译。这可提高结果的精确性,但是选择此选项后,性能可能会降低。