瞭解如何延伸產品以符合特定的開發需求。
本節說明如何自訂資料庫,以及將自訂的漏洞及其他常式整合到掃描中。
本節說明如何自訂資料庫,以及將自訂的漏洞及其他常式整合到掃描中。自訂規則可調整 AppScan® Source Security Knowledgebase(或漏洞資料庫),以配合您的特定安全標準,並在整個企業內一致地套用這些標準。
在「自訂規則」視圖中,您可以利用「自訂規則精靈」來建立自訂規則。新增、檢視或刪除現有的規則。
歡迎使用 HCL® AppScan® Source 的說明文件。
探索這些已新增至 AppScan® Source 的新特性,並指出在這個版本中已淘汰的任何特性與功能。
瞭解如何安裝、升級及啟動 HCL® AppScan® Source 。
瞭解如何在 HCL® AppScan® Source 中配置應用程式、資料夾和專案,以及設定屬性和內容。
瞭解如何在 HCL® AppScan® Source 中管理使用者帳戶和許可權、審核使用者活動,以及管理整合。
本節說明如何掃描原始碼及管理 HCL® AppScan® Source 中的評量。
將類似的發現項目分組,可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® Source 評量以及分析結果。
安全分析師和風險管理員可以存取所選取發現項目的報告,或一系列審核報告,這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
您可以在「自訂規則」視圖中開啟「自訂規則精靈」,這個工具會帶您逐步建立自訂資料庫記錄。建立自訂規則之後,您可以在「自訂規則」視圖中檢視它們。表格會顯示簽章、語言和目的。
「自訂規則精靈」可協助您新增方法到 AppScan® Source Security Knowledgebase中。大部分自訂規則都是廣域範圍(適用於所有專案)。自訂無追蹤發現項目、來源、接收槽和污染傳播者,一律是廣域範圍。自訂驗證/編碼常式不是廣域範圍。
Likelihood
Attribute.Likelihood.High 和 Attribute.Likelihood.Low 屬性是內建規則的一部分,可供建立自訂規則時使用。
Attribute.Likelihood.High
Attribute.Likelihood.Low
部分應用程式(尤其是 Web 應用程式)需要輸入/輸出追蹤,以識別與 SQL 注入、指令注入、跨網站 Scripting 攻擊相關的安全漏洞。透過 AppScan® Source 追蹤,您可以指定一個驗證常式,它可用來消除任何漏洞報告。如果輸入未經驗證,就會將所有其他輸出標示為漏洞。
基於 AppScan® Source 型樣的掃描是以自訂搜尋準則為基礎的原始碼分析。基於型樣的掃描類似於 grep(grep 會在一或多個檔案中,搜尋給定的字串或型樣)。執行分類的審核員或安全分析師,有可能利用基於型樣的掃描,在特定應用式程式中,或在專案中,搜尋特定的型樣。將型樣定義為漏洞類型之後,掃描原始碼時,會將這個型樣識別為漏洞。當 AppScan Source 找到相符者時,項目會出現在發現項目表格中。立即可用的 AppScan Source 規則庫包含預先定義的規則及規則集(規則的集合)。
AppScan® Source 可讓您從 Apache Tomcat 及 WebSphere® Application Server Liberty 設定檔匯入 Java™ 應用程式。您可以如本主題所述,延伸應用程式伺服器匯入架構,以便從其他應用程式伺服器匯入 Java 應用程式。
利用 AppScan® Source for Development,您可以在現有的開發環境中作業,且可以對 Java 和 IBM® MobileFirst Platform 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞,然後利用 AppScan Source Security Knowledgebase 的補救協助,將它們徹底消除。
檢閱 HCL® AppScan® Source 參照資訊,包括使用公用程式、外掛程式及 API。
自助資訊、資源和工具,可讓您在使用 HCL® AppScan® Source 時針對問題進行疑難排解。
請參閱建立自訂規則,以取得詳細資料。