显示发现结果

“发现结果”视图或包含发现结果的任何视图都将针对每个扫描显示一个发现结果树(评估条件的分层分组)和一个发现结果表。发现结果树中选择的项确定了表中将出现的发现结果。

选择树的根会导致所有发现结果都显示在表中,而选择分组类型会导致仅显示这些类型的发现结果。

“结果”视图

AppScan® Source for Analysis 按不同分组显示结果,这些分组包括:

  • 修订组(缺省值)

    发现结果树中的修订组按如下方式在层次结构中列出:漏洞组和类型 > 源 > 严重性。

  • 漏洞类型
  • 分类
  • 文件
  • 接收器
  • API
  • CWE
注: 缺省情况下,以降序对分类和严重性进行排序。所有其他列都以升序进行排序。

以下列将出现在发现结果表中。

1. 结果表
列标题 描述
跟踪 此列中的图标指示存在丢失或已知接收器的跟踪。
严重性
  • :对数据的机密性、完整性或可用性和/或处理资源的完整性或可用性具有风险。高严重性情况应该优先予以立即修复。
  • :对数据安全性和资源完整性具有风险,但是此情况较不容易受到攻击的影响。中严重性情况应该予以复审,并在可能之处予以修复。
  • :对数据安全性或资源完整性具有极低的风险。
  • 参考:发现结果本身不易受到威胁的影响。更确切而言,它描述代码中使用的技术、体系结构特征或安全性机制。
分类 发现结果的类型:明确可疑安全性结果,或者扫描覆盖范围发现结果。
注: 某些情况下,分类可用于表示某个分类既不是安全性结果也不是扫描覆盖范围结果。
漏洞类型 漏洞类型,例如 Validation.RequiredInjection.SQL
API 易受攻击调用,显示向其传递的 API 和参数。
源是对程序的输入,如文件、servlet 请求、控制台输入或套接字。对于大多数输入源,返回的数据在内容和长度方面没有限制。在未检查某个输入的情况下,会将其视为已感染。
接收器 接收器可以是可将数据写出到的任何外部格式。接收器示例包括数据库、文件、控制台输出和套接字。数据未经检查就写入接收器可能预示着严重的安全漏洞。
目录 扫描的文件的完整路径。
文件 其中出现安全性结果或扫描覆盖范围结果的代码文件的名称。结果中的文件路径与已扫描的项目工作目录相关。
调用方法 进行易受攻击的调用的函数(或方法)。
代码文件中的包含易受攻击 API 的行号。
包含此结果的束。
CWE 由社区编写的常见软件弱点字典的标识和主题(Common Weakness Enumeration (CWE) 主题)。
注: 如果选择了 AppScan® 源代码 无法找到其源的发现结果,将通过对话框提示您在无法找到源文件时是否希望收到提示。如果选择,那么每次选择无法找到其源文件的发现结果时都将收到提示。如果选择,将不会收到提示。只要当前评估处于打开状态,该设置就将持续存在。每次重新打开评估时或者您退出 AppScan® 源代码 都将重新设置该设置。