解決安全問題和檢視補救協助
AppScan® Source 會發出安全錯誤或一般設計缺失的警示,且能夠在解決過程中提供協助。AppScan® Source Security Knowledgebase(以及內部或外部的程式碼編輯器)可以在這個過程中提供協助。
執行這項作業的原因和時機
AppScan® Source Security Knowledgebase 提供更正發現項目的建議。本環境定義內每一漏洞的知識,提供了關於主要原因、風險嚴重性和補救建議動作的精闢說明。例如,它將「緩衝區溢位」類型 strcpy()
描述為高度嚴重性層次,且提供此補救協助:
strcpy
容易發生目的地緩衝區溢位,因為它不知道目的地緩衝區的長度,因此無法檢查以確定是否要予以覆寫。您應該考慮使用含有長度參數的strncpy
。strncpy
的安全風險程度雖然較低,但還是有風險。
如果要檢視 AppScan® Source Security Knowledgebase,請執行下列動作:
程序
- 在 AppScan® Source for Analysis 中,開啟「如何修正」檢視畫面,然後在發現項目表格中選取發現項目。這時會顯示這個特定發現項目的補救協助。或者,可以從主功能表列選取 ,在瀏覽器中開啟整個 AppScan® Source Security Knowledgebase。
- 在 AppScan® Source for Development (Eclipse plug-in) 中,開啟「如何修正」檢視畫面,然後在發現項目表格中選取發現項目。這時會顯示這個特定發現項目的補救協助。
- 在 AppScan® Source for Development (Visual Studio plug-in)中,選取發現項目表格中的發現項目。從主功能表列選取 ,或用滑鼠右鍵按一下發現項目,然後從功能表中選取知識庫說明。這會開啟所選發現項目的補救協助。