欢迎
欢迎阅读 HCL® AppScan® Source 文档。
HCL® AppScan® Source 简介
HCL® AppScan® Source 向贵组织中每个对软件安全性产生影响的用户都提供最大的价值。无论您是安全分析人员、质量保证专员、开发人员还是执行人员,AppScan Source 产品都直接在桌面上提供您所需的功能、灵活性和能力。
重要概念
您在开始使用或管理 AppScan® Source 之前,应该让自己熟悉主要 AppScan Source 概念。本部分定义基本 AppScan Source 术语和概念。后续章节会重复这些定义以帮助您了解它们在 AppScan Source for Analysis 中的上下文。
HCL® AppScan® Source for Analysis 简介
本部分描述 AppScan® Source for Analysis 如何适应总体 AppScan Source 解决方案并提供用于了解软件保证工作流程的基础知识。
从 AppScan® Source 产品登录到 AppScan® Enterprise Server
大多数 AppScan® Source 产品和组件都需要与 AppScan Enterprise Server 连接。该服务器提供集中式用户管理功能和评估共享机制。所有用户管理工作均在 AppScan Enterprise 中执行。
美国政府法规遵从性
遵从美国政府的安全和信息技术法规有助于消除销售难题和障碍。这还向全球潜在客户提供了一个证据点,表明 HCL® 正在努力使其产品在行业中具有最高安全性。本主题列出了 AppScan® Source 支持的标准和准则。
AppScan® Source 和辅助功能选项
辅助功能选项将影响残障用户,如行动不便或视力受限的用户。辅助功能选项问题可能会阻碍功能成功使用软件产品。本主题概述了已知的 AppScan® Source 辅助功能选项问题及其背景。
新增功能
探索已添加到 AppScan® Source 的以下新功能 - 并请注意该发行版中已不推荐使用的任何特性和功能。
安装
了解如何安装、升级和激活 HCL® AppScan® Source。
AppScan® Source 部署模型
本节描述三种不同的部署模型以及每种模型包含的组件。
样本安装方案
安装 AppScan® Source 时,遵循正确的安装工作流程很重要。以下主题将引导您完成一些样本安装方案中涉及的工作流程。
高级安装和激活主题
本部分描述高级安装选项和激活过程。
AppScan® Source 静默安装程序
AppScan® Source 定制安装向导用于创建静默安装程序。
从系统移除 AppScan® Source
可以通过 Windows™ 控制面板或 Linux™ 卸载脚本移除 AppScan® Source。AppScan Source 卸载不会移除或备份已安装的 Oracle 数据库。从 Oracle 实例删除 AppScan Source 用户是手动数据库管理任务。
配置
了解如何在 HCL® AppScan® Source 中配置应用程序、文件夹和项目,以及设置特性和属性。
配置应用程序、文件夹和项目
您必须先配置应用程序、文件夹和项目,然后才能进行扫描。此部分说明 Application Discovery Assistant、“新建应用程序向导”、“新建文件夹向导”和“新建项目向导”。您将了解如何配置 AppScan® Source for Analysis 的属性。此外,本部分还会教您如何添加现有应用程序和项目以供扫描 - 以及如何向项目添加文件。
首选项
首选项是关于 AppScan® Source for Analysis 的外观和操作的个人选项。
管理
了解如何管理用户帐户和许可权、审计用户活动以及管理 HCL® AppScan® Source 中的集成。
管理 AppScan® Source
本节说明用户管理、许可权、应用程序和项目注册以及端口配置。
审计用户活动
AppScan® Source 为审计用户活动提供便利的位置。“审计”视图会记录事件,例如向 AppScan Enterprise Server 的认证、新用户的创建以及数据库中新规则的创建。
从 AppScan® Source 产品登录到 AppScan® Enterprise Server
大多数 AppScan® Source 产品和组件都需要与 AppScan Enterprise Server 连接。该服务器提供集中式用户管理功能和评估共享机制。所有用户管理工作均在 AppScan Enterprise 中执行。
LDAP 集成
要添加将通过 LDAP 进行认证的 AppScan® Source 用户,那么必须先将 AppScan Enterprise Server 用户存储库配置为使用 LDAP 存储库。
AppScan® Source 应用程序、文件夹和项目文件
AppScan® Source 应用程序、文件夹和项目具有对应的文件,这些文件用来维护扫描以及筛选定制所需的配置信息。建议将这些文件与源代码放置在同一目录中,因为构建项目所需的配置信息(依赖性、编译器选项等)与 AppScan Source 成功扫描这些项目所需的配置信息非常相似。最佳实践包括以源代码控制系统管理这些文件。
扫描
本部分说明在 HCL® AppScan® Source 中如何扫描源代码和管理评估。
扫描工作空间、项目和文件
您可以扫描 Eclipse 工作空间、项目或文件。这包括扫描 Java™(包括 Android)、JavaServer Pages (JSP) 和 IBM® MobileFirst Platform 项目。
管理“我的评估”
“我的评估”视图包含评估(当前打开的评估以及您已保存的任何评估)的列表。在此视图中,您可以打开、删除、保存、重命名或比较评估。扫描完整或您打开已保存的评估时,评估显示在“我的评估”视图中。“我的评估”显示打开或保存的评估的表,并标识已发布或修改的评估。从此视图除去评估(不进行保存或发布)将永久删除该评估。
将 AppScan® Source 评估提交到云以进行分析
如果在 HCL Cloud Marketplace 订阅了 HCL AppScan on Cloud,可在此处提交 AppScan® Source 评估以进行分析。支持 AppScan Source V9.0 或更高版本的评估,可提交的扫描数取决于 AppScan on Cloud 订阅。
发布评估
AppScan® Source 提供两种可选发布方式。您可以将评估发布到 AppScan Source Database以存储和共享评估。或者,如果您的 AppScan Enterprise Server 已与 Enterprise Console 选件一起安装,那么可以向该选件发布评估。AppScan Enterprise Console 提供各种用于处理评估的工具,例如报告功能、问题管理、趋势分析和仪表板。
打开和保存评估
AppScan® Source 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞,而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后,您可以将评估保存到文件。然后,您可以随时再次打开此评估。将评估另存为 filename.ozasmt。
从“我的评估”中移除评估
从“我的评估”视图中移除评估时,不会从本地文件系统中移除这些评估。如果从该视图中移除了某个评估,还可以通过打开评估操作来重新添加此评估。
定义变量
保存评估或束,或者发布评估时,AppScan® Source for Analysis 可能建议您创建变量来替换绝对路径(如果没有变量,AppScan Source for Analysis 会将绝对路径写入评估文件以引用诸如源文件之类的项)。为绝对路径配置变量时,可便于在多台计算机上共享评估。建议在共享评估时使用变量。
筛选和分析
通过对相似发现结果进行分组,安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® Source 评估分类和对结果进行分析。
显示发现结果
“发现结果”视图或包含发现结果的任何视图都将针对每个扫描显示一个发现结果树(评估条件的分层分组)和一个发现结果表。发现结果树中选择的项确定了表中将出现的发现结果。
AppScan® Source 分类过程
分类过程包括通过束、过滤器和排除来处理发现结果,以及对评估结果进行比较。
样本筛选
此示例描述了安全分析人员所使用的 AppScan® Source 分类工作流程。筛选工作流程可能因您的业务需求而有所不同。
通过过滤器筛选
AppScan® Source for Analysis 针对所有潜在安全性漏洞进行报告,并可能为中到大型代码库生成成千上万个发现结果。扫描时,您可能觉得发现结果列表中包含对您不重要的项。要从“发现结果”视图除去某些发现结果,可以选择预定义的过滤器,或者创建您自己的过滤器。过滤器可指定用于决定要从视图中除去哪些发现结果的条件。
通过排除进行分类
扫描过后,您可确定与当前工作无关的发现结果,并且在对扫描结果分类时,使其在发现结果表中不可视。这些排除(或已排除的发现结果)将不再出现在“发现结果”视图中,而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。
处理束
通过束(发现结果的分组机制),您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中,便可使用 AppScan Source for Development 来打开包含了束的项目,导入束,或者打开已保存的束文件 (file_name.ozbdl)。
使用静态分析修订组
修订组是一种管理、分类和解决在静态分析扫描中发现的问题的新方法。运行静态扫描后,AppScan® Source 会根据漏洞类型和所需修复任务将问题组织到修订组中。
修改发现结果
已修改的发现结果是已更改了漏洞类型、分类或严重性,或者具有注释的发现结果。“已修改的发现结果”视图显示当前应用程序(由于打开其评估而处于活动状态的应用程序)的这些发现结果。在“我的评估”视图中(仅在 AppScan® Source for Analysis 中可用),已修改列指示发现结果在当前评估中是否发生了更改。
比较发现结果
使用差异评估操作或 AppScanDelta 实用程序来比较评估。比较两个评估时,两者之间的差异将显示在“评估差异”视图中或 .ozasmt 文件中。结果将汇总新、已修复/缺失和常见的发现结果。
定制发现结果
要增强分析结果,可创建定制发现结果。这些是用户创建的发现结果,由 AppScan® Source for Analysis 将其添加到当前打开的评估或所选的应用程序。定制发现结果会影响评估度量,并可包含在报告中。创建后,定制发现结果将自动包含在对应用程序的将来扫描中。
解决安全问题以及查看修复帮助
AppScan® Source 针对安全错误或常见设计缺陷向您发出警报,并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。
支持的注释和属性
扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性,那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。
AppScan® Source 跟踪
利用 AppScan® Source 跟踪,您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果,并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
报告
安全分析人员和风险管理员可以访问对选定结果的报告,或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
扩展产品功能
了解如何扩展产品,以满足特定开发需求。
定制漏洞数据库和模式规则
本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。
扩展应用程序服务器导入框架
AppScan® Source 允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明,通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。
HCL®AppScan® Source for Development (Eclipse Plug-in)
通过 AppScan® Source for Development,您可以在现有开发环境中工作,并对 Java 和 IBM® MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
参考
查看 HCL® AppScan® Source 的参考信息,包括使用实用程序、插件和 API。
Ounce/Make 构建实用程序
Ounce/Make 是一种从使用 makefile 的构建环境自动将配置信息导入 AppScan® Source 的工具。通过使用 Ounce/Make 方法,将无需手动从 makefiles 导入配置信息;这是用于配置这些项目的推荐方法。
AppScan® Source command line interface (CLI)
CLI 是核心 AppScan® Source 功能的界面。
Ounce/Ant 构建工具
此部分描述如何使用 Ounce/Ant,它是用于集成 AppScan® Source 和 Apache Ant 的 AppScan Source 构建实用程序。将 Ounce/Ant 与 Ant 环境集成有助于将构建和代码评估自动化。
AppScan® Source Data Access API
Data Access API 提供对 AppScan® Source 所生成的评估结果(包括结果和结果详细信息)的访问权。它还提供对评估度量值如分析日期和时间、代码行、V-Density 和结果数的访问权。
术语表
了解该产品的通用术语。
故障诊断和技术支持
帮助您在使用 HCL® AppScan® Source 时对问题进行故障诊断的自助信息、资源和工具。
故障诊断过程概述
故障诊断是查找并排除问题起因的过程。每当使用软件遇到问题,在询问自己怎么回事时,故障诊断过程就开始了。
联系 HCL® 软件支持
如果自助资源尚未提供问题的解决方案,那么可与 HCL® 软件支持机构联系。HCL 软件支持机构对解决产品问题提供帮助。