创建发现结果报告

关于此任务

扫描之后,您可能想要生成关于已识别漏洞的报告。可生成多个发现结果报告:

  • 结果
  • 发现结果(按修订组)
  • 发现结果(按类型)
  • 发现结果(按分类)
  • 发现结果(按文件)
  • 发现结果(按 API)
  • 发现结果(按束)
  • 发现结果(按 CWE,即常见弱点枚举)
  • DTS 活动
注: 发现结果报告按类别显示详细的发现结果,与结果表中的结果类似。结果报告的生成可以是内存密集型(与 https://xmlgraphics.apache.org/fop/1.1/running.html#memory 相关),最多可能需要 1024 MB 的额外系统内存。如果为大型应用程序的扫描生成报告并注意到内存问题,可单独地扫描应用程序的各个部分或更改扫描配置,然后再次尝试生成报告。

发现结果报告中的 CWE 标识超链接将连接至 CWE Web 站点,地址为:http://cwe.mitre.org/

要生成发现结果报告,请执行以下操作:

过程

  1. 在包含结果的视图中,选择要包含在报告中的结果。如果不选择任何发现结果,那么报告将包含活动视图中所有的发现结果。

    工具菜单上,单击生成发现结果报告。或者,在包含发现结果的视图中,选择并右键单击一组发现结果,然后选择菜单中的生成发现结果报告

  2. 选择发现结果报告对话框中,选择报告类型。
    单击完成以生成报告,或单击下一步以在“指定目标和样式表”页面中指定以下可选设置:
    • 可以指定报告目标和格式。可以将报告生成为 HTML 格式、包含所有 HTML 报告组件的 ZIP 文件或者 PDF(必须具有 Adobe Acrobat Reader 才能查看 PDF 报告)。如果不指定报告目标和格式(或在“选择结果报告”页面中单击完成),那么缺省情况下将选择 HTML,并且报告将保存到 <data_dir>\reports(其中 <data_dir>AppScan® Source 程序数据的位置,如中所述 安装和用户数据文件位置
      注: 如果要以 PDF 格式创建定制报告(而不是发现结果报告),可指定要在报告中包含的详细级别:
      • 摘要:包含每个报告组的计数
      • 详细:包含对各漏洞属性的每个 API 的计数
      • 综合:包含由各 API 的每个结果组成的表
      • 带注释:包含所有发现结果以及发现结果附带的任何说明、跟踪数据或代码片段
    • 要在报告中包含用于建议修复问题方法的信息,请选择如何修复
    • 要在报告中包含代码片段,请选择包含各发现结果周围的源代码并指示要包含在报告中的易受攻击代码行之前和之后的行数。
      提示: 在“发现结果详细信息”视图的“报告”部分中,也可以设置报告中要包含在发现结果之前和之后的代码行数。

      生成报告后,展开包含说明或代码片段的发现结果时,源代码将显示在发现结果之下的蓝色框中或黄色说明下。红色粗体文本突出显示易受攻击的代码行。

    • 要在报告中包含 AppScan® Source trace 数据,请选择包含以下分类的跟踪数据下的一个或多个分类(明确可疑扫描覆盖范围)。

    单击完成以生成报告。

    “生成结果报告”对话框