歡迎使用
歡迎使用 HCL®AppScan® 源 的說明文件。
HCL®AppScan® 源 簡介
HCL®AppScan® 源 可為您組織內每一個在軟體安全上擔任相關職務的使用者,帶來最大價值。不論是安全分析師、品保專業人員、開發人員或高階主管,AppScan 源 產品都能直接在您桌面上提供您需要的功能、彈性和權限。
重要概念
在開始使用或管理 AppScan® 源 之前,您應該先熟悉基本的 AppScan 源 概念。本節說明基本 AppScan 源 術語和概念。後續的章節會重複這些定義,來協助您瞭解它們在 AppScan Source for Analysis 中的環境定義。
HCL®AppScan® Source for Analysis 簡介
本節說明 AppScan® Source for Analysis 如何適用於 AppScan 源 總體解決方案,並提供您瞭解軟體安全工作流程的基礎。
從 AppScan® 源 產品登入 AppScan® Enterprise Server
大部分 AppScan® 源 產品和元件都需要有 AppScan Enterprise Server 的連線。伺服器提供集中式使用者管理功能,以及提供共用評量的機制。所有使用者管理都在 AppScan Enterprise Edition 中進行。
遵守美國政府法規
遵守美國政府安全和資訊技術法規,有助於消除銷售障礙和路障。另外,這也是 HCL® 致力於產生業界頂尖安全產品的全球性證據。本主題列出 AppScan® 源 支援的標準和準則。
AppScan® 源 和協助工具
協助工具會影響有身體障礙(像是行動不便或視力不佳)的使用者。協助工具的問題會妨礙順利使用軟體產品的能力。這個主題描述已知的 AppScan® 源 協助工具問題和其暫行解決方法。
最新消息
探索這些已新增至 AppScan® 源 的新增特性,並指出在這個版本中已淘汰的任何這些與功能。
正在安裝
瞭解如何安裝、升級及啟動 HCL®AppScan® 源 。
AppScan® 源 部署模型
本節說明三個不同的部署模型及構成每一個模型的元件。
安裝實務範例
安裝 AppScan® 源 時,務必遵循正確的安裝工作流程。這些主題引導您完成一些安裝實務範例所涉及的工作流程。
進階安裝與啟動主題
本節說明進階安裝選項和啟動程序。
AppScan® 源無聲自動安裝程式
AppScan® 源自訂安裝精靈用來建立無聲自動安裝程式。
從系統中移除 AppScan® 源
您可以從 Windows™「控制台」或利用 Linux™ 解除安裝 Script,以移除 AppScan® 源。AppScan 源 解除安裝不會移除或備份已安裝的 Oracle 資料庫。從 Oracle 實例中刪除 AppScan 源 使用者是手動資料庫管理作業。
配置
瞭解如何設定應用程式和專案,以及在 HCL®AppScan® 源 中設定屬性和內容。
配置應用程式和專案
掃描之前,您必須先配置應用程式和專案。本節說明「應用程式探索助理」、「新建應用程式」精靈以及「新建專案精靈」。您將學習如何配置 AppScan® Source for Analysis 的屬性。另外,這個區段也教導您如何新增現有的應用程式和專案來進行掃描,以及如何新增檔案到專案中。
喜好設定
喜好設定是關於 AppScan® Source for Analysis 的外觀與操作的個人選擇。
管理
瞭解如何在 HCL®AppScan® 源 中管理使用者帳戶和許可權、審核使用者活動,以及管理整合。
管理 AppScan® 源
本節說明使用者管理、許可權、應用程式及專案登錄和埠配置。
審核使用者活動
AppScan® 源 提供一個方便的位置來審核使用者活動。「審核」視圖會記載向 AppScan Enterprise Server 鑑別、建立新使用者,以及在資料庫中建立新規則之類的事件。
從 AppScan® 源 產品登入 AppScan® Enterprise Server
大部分 AppScan® 源 產品和元件都需要有 AppScan Enterprise Server 的連線。伺服器提供集中式使用者管理功能,以及提供共用評量的機制。所有使用者管理都在 AppScan Enterprise Edition 中進行。
LDAP 整合
如果要新增將透過 LDAP 鑑別的 AppScan® 源 使用者,您必須已將 AppScan Enterprise Server 使用者儲存庫配置成使用 LDAP 儲存庫。
AppScan® 源 應用程式和專案檔
AppScan® 源 應用程式和專案有對應的檔案,可維護掃描及分類自訂作業所需的配置資訊。建議您將這些檔案與原始碼放在同一個目錄下,因為建置專案所需的配置資訊(相依關係、編譯器選項等),與 AppScan 源 順利掃描這些檔案所需的配置資訊非常類似。最佳實務包括使用來源控制系統管理這些檔案。
正在掃描
本節說明如何掃描原始碼及管理 HCL®AppScan® 源 中的評量。
掃描工作區、專案和檔案
您可以掃描 Eclipse 工作區、專案或檔案。這包括掃描 Java™(包括 Android)、JavaServer Pages (JSP) 及 IBM® MobileFirst Platform 專案。
管理我的評量
「我的評量」視圖包含一份評量清單(目前開啟的評量,以及您已儲存的任何評量)。在這個視圖中,您可以開啟、刪除、儲存、重新命名或比較評量。掃描完成之後,或當您開啟儲存的評量時,評量會出現在「我的評量」視圖中。「我的評量」會顯示一份表格,列出已開啟或儲存的評量,且會識別已發佈或修改的評量。從這個視圖中移除某項評量(且未儲存或發佈它),就會永久刪除這個評量。
提交 AppScan® 源 評量至 Cloud 進行分析
如果您在 HCL Cloud Marketplace 訂閱 HCL AppScan on Cloud,您可以在該處提交 AppScan® 源 評量以進行分析。支援來自 AppScan 源 9.0 版或更新版本的評量,您可以提交的掃描數目將視您的 AppScan on Cloud 訂閱而定。
發佈評量
AppScan® 源 提供兩個發佈選項。您可以將評量發佈到 AppScan Source 資料庫,以便儲存及共用評量。或者,如果 AppScan Enterprise Server 已安裝 Enterprise Console 選項,您可以將評量發佈到那裡。AppScan Enterprise Console 提供各種可處理評量的工具,例如:報告特性、問題管理、趨勢分析和儀表板。
開啟及儲存評量
AppScan® 源 會掃描原始碼的漏洞,並列出發現項目。發現項目是掃描期間所識別的漏洞,掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後,您可以將評量儲存在檔案中。之後,您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。
從「我的評量」移除評量
當從「我的評量」視圖中移除評量時,並不會將它們從您的本端檔案系統中移除。如果從視圖中移除評量,您可以利用開啟評量動作來加回此評量。
定義變數
當儲存評量或組合時,或是發佈評量時,AppScan® Source for Analysis 可能會建議您建立變數,來取代絕對路徑(如果沒有變數,AppScan Source for Analysis 會將絕對路徑寫入評量檔中,以參照原始檔之類的項目)。配置絕對路徑的變數,有助於多部電腦共用評量。建議您在共用評量時使用變數。
分類及分析
將類似的發現項目分組,可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 源 評量以及分析結果。
顯示發現項目
在「發現項目」視圖或任何含有發現項目的視圖中,每次掃描都會顯示一個「發現項目樹狀結構」(評量準則的階層式分組)和「發現項目表格」。您在發現項目樹狀結構中選取的項目,會決定呈現在表格中的發現項目。
AppScan® 源 分類程序
分類程序包括透過組合、過濾器及排除項目來操作發現項目,以及比較評量結果。
分類範例
這個範例說明安全分析師所用的 AppScan® 源 分類工作流程。分類工作流程可能會隨著商業需求而不同。
利用過濾器分類
AppScan® Source for Analysis 會報告所有潛在的安全漏洞,對於中型到大型程式碼庫,可能會產生數千個發現項目。掃描時,您可能會看到發現項目清單包含無關緊要的項目。如果要從「發現項目」視圖中移除特定發現項目,您可以選擇預先定義的過濾器,也可以建立自己的過濾器。過濾器用來指定一些準則,以決定要從視圖中移除哪些發現項目。
分類及排除項目
掃描之後,您可能決定某些發現項目與目前的工作無關,在分類掃描結果時,不要它們出現在發現項目表格中。這些排除項目(或已排除的發現項目)不會再出現在「發現項目」視圖中,變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目,只會影響到後續的掃描。
使用組合
組合(發現項目的分組機制)可讓您從 AppScan® Source for Analysis 中,將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後,您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合,或開啟已儲存的組合檔 (file_name.ozbdl)。
使用靜態分析修正程式群組
修正程式群組是一種新方法,用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後,AppScan® 源 就會根據漏洞類型和必要的補救作業,將問題組織到修正程式群組。
修改發現項目
已修改的發現項目是漏洞類型、分類、嚴重性有了改變,或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式(因開啟其評量而在作用中的應用程式)的這些發現項目。在「我的評量」視圖(只限 AppScan® Source for Analysis)中,已修改直欄會指出發現項目是否在現行評量中有了改變。
比較發現項目
使用「差異評量」動作或 AppScanDelta 公用程式來比較評量。比較兩項評量時,會將兩者之間的差異顯示在「評量差異」視圖或 .ozasmt 檔案中。結果會彙總新的、已修正/遺漏和共用發現項目。
自訂發現項目
如果要加強您的分析結果,您可以建立自訂發現項目。這些是使用者建立的發現項目,AppScan® Source for Analysis 會將它們新增到目前開啟的評量中,或新增到所選的應用程式中。自訂發現項目會影響評量的度量,可以併到報告中。建立好之後,自訂發現項目會自動併入應用程式未來的掃描中。
解決安全問題和檢視補救協助
AppScan® 源 會發出安全錯誤或一般設計缺失的警示,且能夠在解決過程中提供協助。AppScan Source Security 知識庫(以及內部或外部的程式碼編輯器)可以在這個過程中提供協助。
支援的註釋和屬性
掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間,當程式碼中發現支援的註釋或屬性時,會利用這項資訊,將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法,會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。
AppScan® 源 追蹤
當使用 AppScan® 源 追蹤時,您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目,將方法標示為驗證常式和編碼常式、來源或接收槽、回呼,或污染傳播者。
產生報告
安全分析師和風險管理員可以存取所選取發現項目的報告,或一系列審核報告,這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
延伸產品功能
瞭解如何延伸產品以符合特定的開發需求。
自訂漏洞資料庫和型樣規則
本節說明如何自訂資料庫,以及將自訂的漏洞及其他常式整合到掃描中。
延伸應用程式伺服器匯入架構
AppScan® 源 可讓您從 Apache Tomcat 及 WebSphere® 應用程式伺服器 Liberty 設定檔匯入 Java™ 應用程式。您可以如本主題所述,延伸應用程式伺服器匯入架構,以便從其他應用程式伺服器匯入 Java 應用程式。
HCL®AppScan® Source for Development(Eclipse 外掛程式)
利用 AppScan® Source for Development,您可以在現有的開發環境中作業,且可以對 Java 和 IBM® MobileFirst Platform 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞,然後利用 AppScan Source Security 知識庫 的補救協助,將它們徹底消除。
參照
檢閱 HCL®AppScan® 源 參照資訊,包括使用公用程式、外掛程式及 API。
Ounce/Make 建置公用程式
Ounce/Make 這個工具可以從使用 makefile 的建置環境,自動將配置資訊匯入到 AppScan® 源。Ounce/Make 讓您不需要從 makefiles 手動匯入配置資訊。這是設定這些專案的建議方法。
AppScan® Source 指令行介面 (CLI)
CLI 是核心 AppScan® 源 功能的介面。
Ounce/Ant 建置工具
這一節說明如何使用 Ounce/Ant,這是一種整合 AppScan® 源 和 Apache Ant 的 AppScan 源 建置公用程式。整合 Ounce/Ant 與 Ant 環境可協助您自動建置和進行程式碼評量。
AppScan® 源 Data Access API
Data Access API 可提供存取 AppScan® 源 產生的評量結果,其中包含發現項目和發現項目詳細資料。它也可提供存取分析日期和時間、程式碼行、V 密度及發現項目數之類的評量度量。
名詞解釋
瞭解一般產品專有名詞。
疑難排解和支援
自助資訊、資源和工具,可讓您在使用 HCL®AppScan® 源 時針對問題進行疑難排解。
疑難排解程序概觀
疑難排解是一種尋找及排除問題發生原因的程序。每次您的軟體發生問題時,當您自問發生什麼事?時,疑難排解處理程序旋即展開。
聯絡 HCL® 軟體支援中心
如果自助資源未能提供您問題的解決辦法,可聯絡 HCL® 軟體支援中心。HCL 軟體支援中心提供解決產品問題的協助。