了解如何扩展产品,以满足特定开发需求。
本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。
本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。定制规则将 AppScan® Source Security Knowledgebase(或漏洞数据库)定制为符合您的特定安全性标准,并在整个企业内一致地应用这些标准。
在“定制规则”视图中,可使用“定制规则向导”来创建定制规则。添加、查看或删除现有规则。
欢迎使用 HCL®AppScan® 源代码 文档。
探索已添加到 AppScan® 源代码 的以下新功能,并请注意该发行版中已不推荐使用的任何功能部件和功能。
了解如何安装、升级和激活 HCL®AppScan® 源代码。
了解如何配置应用程序和项目,以及如何在 HCL®AppScan® 源代码 中设置属性和特性。
了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL®AppScan® 源代码 中的集成。
本部分说明在 HCL®AppScan® 源代码 中如何扫描源代码和管理评估。
通过对相似发现结果进行分组,安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源代码 评估分类和对结果进行分析。
安全分析人员和风险管理员可以访问对选定结果的报告,或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
在“定制规则”视图中,您可以打开“定制规则向导”,该工具会指导您完成创建定制数据库记录的过程。一旦创建定制规则,就可以在“定制规则”视图中查看这些规则。该表显示签名、语言和用途。
定制规则向导帮助您将方法添加到 AppScan® Source Security Knowledgebase。大部分定制规则的作用域是全局的(应用于所有项目)。定制无跟踪结果、源、接收器和感染传播器始终是全局的。定制验证/编码例程不是全局的。
Likelihood
Attribute.Likelihood.High 和 Attribute.Likelihood.Low 属性是内置规则的一部分,可在创建定制规则时使用。
Attribute.Likelihood.High
Attribute.Likelihood.Low
一些应用程序(尤其是 Web 应用程序)需要输入/输出跟踪来标识与 SQL 注入、命令注入和跨站点脚本编制相关的安全漏洞。通过 AppScan® 源代码 跟踪,您可以指定用来消除对任何漏洞的报告的验证例程。如果尚未验证输入,那么其他所有输出将标记为漏洞。
AppScan® 源代码 基于模式的扫描是根据定制的搜索条件来对源代码进行的分析。基于模式的扫描类似于 grep(grep 搜索一个或多个文件以查找给定字符串或模式)。执行筛选的审计员或安全分析人员可能使用基于模式的扫描来搜索特定应用程序或项目中的特定模式。一旦将模式定义为漏洞类型,对您源代码的扫描会将该模式标识为漏洞。当 AppScan 源代码 找到匹配项时,该项会显示在结果表中。即开即用 AppScan 源代码 规则库包含预定义的规则和规则集(规则的集合)。
AppScan® 源代码 允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明,通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。
通过 AppScan® Source for Development,您可以在现有开发环境中工作,并对 Java 和 IBM® MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
查看 HCL®AppScan® 源代码 的参考信息,包括使用实用程序、插件和 API。
帮助您在使用 HCL®AppScan® 源代码 时对问题进行故障诊断的自助信息、资源和工具。
有关更多详细信息,请参阅创建定制规则。