重要概念
在開始使用或管理 AppScan® 源 之前,您應該先熟悉基本的 AppScan® 源 概念。本節說明基本 AppScan® 源 術語和概念。後續的章節會重複這些定義,來協助您瞭解它們在 AppScan® Source for Analysis 中的環境定義。
AppScan® Source for Analysis 會掃描原始碼的漏洞,並列出發現項目。發現項目是掃描期間所識別的漏洞,掃描結果是評量。組合是個別發現項目的具名集合,儲存在應用程式中。
應用程式、應用程式屬性和專案是在 AppScan® Source for Analysis 中建立及組織:
- 應用程式:應用程式包含一或多個專案及其相關屬性。
- 專案:專案由一組檔案(包括原始碼)及其相關資訊(例如配置資料)所組成。專案一律為應用程式的一部分。
- 屬性:屬性是應用程式的一種性質,有助於將掃描結果組織成有意義的分組,例如:按照部門或專案領導人分組。您在 AppScan® Source for Analysis 中定義屬性。
AppScan® Source for Analysis 的主要活動是掃描原始碼以及分析漏洞。評量是用來分析原始碼中的漏洞,其中包括:
- 嚴重性:高、中或低,指出風險層次
- 漏洞類型:漏洞種類,例如「SQL 注入」或「緩衝區溢位」
- 檔案:存在發現項目的程式檔
- API/原始碼:有漏洞的呼叫,顯示 API 和傳給 API 的引數
- 方法:發出有漏洞呼叫的函數或方法
- 位置:程式檔中有漏洞的 API 所在的行號和欄號
- 分類:安全發現項目或掃描涵蓋面發現項目。如需相關資訊,請參閱分類。