重要概念

在開始使用或管理 AppScan® 之前,您應該先熟悉基本的 AppScan® 概念。本節說明基本 AppScan® 術語和概念。後續的章節會重複這些定義,來協助您瞭解它們在 AppScan® Source for Analysis 中的環境定義。

AppScan® Source for Analysis 會掃描原始碼的漏洞,並列出發現項目。發現項目是掃描期間所識別的漏洞,掃描結果是評量組合是個別發現項目的具名集合,儲存在應用程式中。

應用程式、應用程式屬性和專案是在 AppScan® Source for Analysis 中建立及組織:

  • 應用程式:應用程式包含一或多個專案及其相關屬性。
  • 專案:專案由一組檔案(包括原始碼)及其相關資訊(例如配置資料)所組成。專案一律為應用程式的一部分。
  • 屬性:屬性是應用程式的一種性質,有助於將掃描結果組織成有意義的分組,例如:按照部門或專案領導人分組。您在 AppScan® Source for Analysis 中定義屬性。

AppScan® Source for Analysis 的主要活動是掃描原始碼以及分析漏洞。評量是用來分析原始碼中的漏洞,其中包括:

  • 嚴重性:高、中或低,指出風險層次
  • 漏洞類型:漏洞種類,例如「SQL 注入」或「緩衝區溢位」
  • 檔案:存在發現項目的程式檔
  • API/原始碼:有漏洞的呼叫,顯示 API 和傳給 API 的引數
  • 方法:發出有漏洞呼叫的函數或方法
  • 位置:程式檔中有漏洞的 API 所在的行號和欄號
  • 分類:安全發現項目或掃描涵蓋面發現項目。如需相關資訊,請參閱分類