跳转到主要内容
HCL Logo Product Documentation
Customer Support Community
Customer Support HCLSoftware U Community Forums Customer Idea Portal
HCL AppScan Source
  1. Home icon
  2. Welcome
  3. 延伸產品功能

    瞭解如何延伸產品以符合特定的開發需求。

  4. HCL®AppScan® Source for Development (Eclipse Plug-in)

    利用 AppScan® Source for Development,您可以在現有的開發環境中作業,且可以對 Java 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞,然後利用 AppScan Source Security Knowledgebase 的補救協助,將它們徹底消除。

  5. 修改發現項目

    已修改的發現項目是漏洞類型、分類或嚴重性有了改變,或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式(因開啟其評量而在作用中的應用程式)的這些發現項目。在「我的評量」視圖(只限 AppScan® Source for Analysis)中,已修改直欄會指出發現項目是否在現行評量中有了改變。

  6. 從發現項目表格修改

    如果您要對多個檔案做相同的變更,您可能會想要透過發現項目表格來修改發現項目。如果您將修改個別的發現項目,請使用發現項目表格或「發現項目詳細資料」視圖。

Product logo

  • 歡迎使用

    歡迎使用 HCL® AppScan® Source 的說明文件。

  • 新增功能

    探索新增至 AppScan® Source 的特色,並記下此版本中淘汰的任何特色與功能。

  • 安裝

    瞭解如何安裝,升級和啟動 HCL® AppScan® Source。

  • 配置

    瞭解如何在 HCL® AppScan® Source 中配置應用程式、資料夾和專案,以及設定屬性和內容。

  • 管理

    瞭解如何在 HCL® AppScan® Source 中管理使用者帳戶和許可權、審核使用者活動,以及管理整合。

  • 掃描

    本節說明如何在 HCL® AppScan® Source 中掃描原始碼及管理評量。

  • 分類及分析

    將類似的發現項目分組,可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® Source 評量以及分析結果。

  • 報告

    安全分析師和風險管理員可以存取所選取發現項目的報告,或一系列審核報告,這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。

  • 延伸產品功能

    瞭解如何延伸產品以符合特定的開發需求。

    • 自訂漏洞資料庫和型樣規則

      本節說明如何自訂資料庫,以及將自訂的漏洞及其他常式整合到掃描中。

    • 延伸應用程式伺服器匯入架構

      AppScan® Source 可讓您從 Apache Tomcat 及 WebSphere® Application Server Liberty 設定檔匯入 Java™ 應用程式。您可以如本主題所述,延伸應用程式伺服器匯入架構,以便從其他應用程式伺服器匯入 Java 應用程式。

    • HCL®AppScan® Source for Development (Eclipse Plug-in)

      利用 AppScan® Source for Development,您可以在現有的開發環境中作業,且可以對 Java 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞,然後利用 AppScan Source Security Knowledgebase 的補救協助,將它們徹底消除。

      • 名詞解釋
      • AppScan® Source for Development server mode和local mode

        在具有或沒有 AppScan® Source for Development 的情況下都可使用 AppScan Enterprise Server 外掛程式。在 server mode 中,您連接至伺服器來執行掃描和存取共用資料。在 local mode 中,AppScan Source for Development 在完全不連接 AppScan Enterprise Server 的情況下執行;您將無法存取共用項目,例如過濾器、掃描配置及自訂規則。

      • 建立變數

        如果要開啟先前在 AppScan® Source for Analysis 中基於路徑變數所建立的評量或組合,您應該在開發環境中建立相符的變數。建立變數可確保資料可供多部電腦使用。如果要共用評量資料,您必須定義適當的變數。

      • 配置掃描

        視您要掃描的專案類型以及您要處理的掃描類型而定,您可能必須在執行掃描之前先配置它。例如,您可以將專案配置為使用依預設所設定的 JDK 或 JSP 編譯器以外的編譯器。

      • 一般喜好設定

        一般喜好設定可讓您調整某些 AppScan® Source for Development 預設值,以符合您的個人喜好設定。

      • 一般喜好設定

        一般喜好設定可讓您調整某些 AppScan® Source for Development 預設值,以符合您的個人喜好設定。

      • 掃描工作區、專案和檔案

        您可以掃描 Eclipse 工作區、專案或檔案。這包括掃描 Java™(包括 Android)及 JavaServer Pages (JSP) 專案。

      • 開啟及儲存評量

        AppScan® Source 會掃描原始碼的漏洞,並列出發現項目。發現項目是掃描期間所識別的漏洞,掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後,您可以將評量儲存在檔案中。之後,您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。

      • 自訂發現項目表格

        除了 AppScan® Source for Analysis 中的「評量差異」視圖之外,在所有含有發現項目的視圖中,您可以只將您想要看到的直欄及直欄次序識別出來,以自訂發現項目表格。每個視圖可以各有不同設定,您也可以將選項套用於所有視圖。如果要自訂直欄次序,請遵循這個作業主題中的步驟。

      • 將所選的發現項目儲存在評量中

      • 搜尋發現項目

        在包含發現項目的多重視圖中,您可以搜尋特定的發現項目。搜尋準則包含組合、程式碼、檔案、專案或漏洞類型。搜尋結果會出現在「搜尋結果」視圖中。

      • 修改發現項目

        已修改的發現項目是漏洞類型、分類或嚴重性有了改變,或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式(因開啟其評量而在作用中的應用程式)的這些發現項目。在「我的評量」視圖(只限 AppScan® Source for Analysis)中,已修改直欄會指出發現項目是否在現行評量中有了改變。

        • 從發現項目表格修改

          如果您要對多個檔案做相同的變更,您可能會想要透過發現項目表格來修改發現項目。如果您將修改個別的發現項目,請使用發現項目表格或「發現項目詳細資料」視圖。

          • 變更漏洞類型

            您可以變更個別發現項目或是一組發現項目的漏洞類型。

          • 將發現項目分類升級

            其分類為可疑安全發現項目或掃描涵蓋面發現項目的發現項目,可升級為明確的發現項目。

          • 修改嚴重性

            選取新的嚴重性層次,會變更每個所選發現項目的嚴重性。例如,AppScan® Source 可能會報告某個 API 的嚴重性是中度,但公司的原則將它視為更嚴重。您可以修改嚴重性來符合您的需求,但請注意,AppScan Source 的補救協助不包含這項修改。

          • 標註發現項目

            Notes® 可做為提示,以提示您對發現項目採取進一步動作,或將發現項目的相關資訊傳給其他人。您可以新增附註到單一發現項目或一組發現項目。

        • 在「發現項目詳細資料」視圖中修改發現項目

        • 移除發現項目修改部分

          如果您修改了發現項目,您可以利用這個主題所說明的方法來移除修改的部分(回復原始值)。

      • 解決安全問題和檢視補救協助

        AppScan® Source 會發出安全錯誤或一般設計缺失的警示,且能夠在解決過程中提供協助。AppScan Source Security Knowledgebase 以及內部或外部的程式碼編輯器可以在這個過程中提供協助。

      • 分類及排除項目

        掃描之後,您可能決定某些發現項目與目前的工作無關,在分類掃描結果時,不要它們出現在發現項目表格中。這些排除項目(或已排除的發現項目)不會再出現在「發現項目」視圖中,變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目,只會影響到後續的掃描。

      • 建立及管理過濾器

        AppScan® Source 提供多種建立及使用過濾器的方法。「過濾器編輯器」視圖是建立過濾器的主視圖,它提供一組很健全的規則,您可以手動設定它們,然後將它們儲存在過濾器中。另外,「過濾器編輯器」視圖也提供了已建立過濾器的管理機制,可讓您修改或移除這些過濾器。另外,您也可以利用提供發現項目之圖形表示法的視圖,來過濾發現項目表格,然後在「過濾器編輯器」視圖中儲存這些過濾器。當您建立過濾器時,會更新其他視圖來反映過濾器內容。

      • 支援的註釋和屬性

        掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間,當程式碼中發現支援的註釋或屬性時,會利用這項資訊,將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法,會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。

      • 使用組合

        組合(發現項目的分組機制)可讓您從 AppScan® Source for Analysis 中,將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後,您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合,或開啟已儲存的組合檔 (file_name.ozbdl)。

      • AppScan® Source 追蹤

        當使用 AppScan® Source 追蹤時,您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目,將方法標示為驗證常式和編碼常式、來源或接收槽、回呼,或污染傳播者。

      • 視圖和視窗

        AppScan® Source for Development 的視圖和視窗提供發現項目的替代呈現方式,它們支援編輯程式碼,可讓您在工作台中導覽資訊。視圖可以單獨出現,也可以在標籤記事本中,與其他視圖堆疊起來。您可以開啟和關閉視圖,以及將它們定置在「工作台」視窗的不同位置,以變更視景或視窗的佈置。

      • 安裝和使用者資料檔位置

        當您安裝 AppScan® Source 時,使用者資料和配置檔會儲存在安裝目錄之外。

      • CWE 支援

        「一般弱點列舉 (Common Weakness Enumeration, CWE)」是一份業界標準清單,可提供常見的軟體弱點的一般名稱。本主題列出 AppScan® Source 的現行版本中支援的 CWE ID。

      • 智慧型發現項目分析 (IFA)

        瞭解從 AppScan® Source 自動分類和分析發現項目。

  • 參照

    檢閱 HCL® AppScan® Source 參照資訊,包括使用公用程式、外掛程式及 API。

  • 疑難排解和支援

    自助資訊、資源和工具,可協助您在使用 HCL® AppScan® Source 時疑難排解問題。

 Feedback

從發現項目表格修改

如果您要對多個檔案做相同的變更,您可能會想要透過發現項目表格來修改發現項目。如果您將修改個別的發現項目,請使用發現項目表格或「發現項目詳細資料」視圖。

  • 變更漏洞類型
  • 將發現項目分類升級
  • 修改嚴重性
  • 支援的註釋和屬性
  • 變更漏洞類型
    您可以變更個別發現項目或是一組發現項目的漏洞類型。
  • 將發現項目分類升級
    其分類為可疑安全發現項目或掃描涵蓋面發現項目的發現項目,可升級為明確的發現項目。
  • 修改嚴重性
    選取新的嚴重性層次,會變更每個所選發現項目的嚴重性。例如,AppScan® Source 可能會報告某個 API 的嚴重性是中度,但公司的原則將它視為更嚴重。您可以修改嚴重性來符合您的需求,但請注意,AppScan® Source 的補救協助不包含這項修改。
  • 標註發現項目
    Notes® 可做為提示,以提示您對發現項目採取進一步動作,或將發現項目的相關資訊傳給其他人。您可以新增附註到單一發現項目或一組發現項目。
  • Share: Email
  • Twitter
  • Disclaimer
  • Privacy
  • Terms of use
  • Cookie Preferences