檢閱 HCL® AppScan® Source 參照資訊,包括使用公用程式、外掛程式及 API。
Data Access API 可提供存取 AppScan® Source 產生的評量結果,其中包含發現項目和發現項目詳細資料。它也可提供存取分析日期和時間、程式碼行、V 密度及發現項目數之類的評量度量。
AppScan® Source for Development 的視圖和視窗提供發現項目的替代呈現方式,它們支援編輯程式碼,可讓您在工作台中導覽資訊。視圖可以單獨出現,也可以在標籤記事本中,與其他視圖堆疊起來。您可以開啟和關閉視圖,以及將它們定置在「工作台」視窗的不同位置,以變更視景或視窗的佈置。
這一節的視圖用於檢視和管理細部掃描輸出。
在包含發現項目的多重視圖中,您可以搜尋特定的發現項目。搜尋準則包含組合、程式碼、檔案、專案或漏洞類型。搜尋結果會出現在「搜尋結果」視圖中。
歡迎使用 HCL® AppScan® Source 的說明文件。
探索這些已新增至 AppScan® Source 的新特性,並指出在這個版本中已淘汰的任何特性與功能。
瞭解如何安裝、升級及啟動 HCL® AppScan® Source 。
瞭解如何在 HCL® AppScan® Source 中配置應用程式、資料夾和專案,以及設定屬性和內容。
瞭解如何在 HCL® AppScan® Source 中管理使用者帳戶和許可權、審核使用者活動,以及管理整合。
本節說明如何掃描原始碼及管理 HCL® AppScan® Source 中的評量。
將類似的發現項目分組,可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® Source 評量以及分析結果。
安全分析師和風險管理員可以存取所選取發現項目的報告,或一系列審核報告,這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
瞭解如何延伸產品以符合特定的開發需求。
Ounce/Make 這個工具可以從使用 makefile 的建置環境,自動將配置資訊匯入到 AppScan® Source。Ounce/Make 讓您不需要從 makefiles 手動匯入配置資訊。這是設定這些專案的建議方法。
makefile
makefiles
CLI 是核心 AppScan® Source 功能的介面。
這一節說明如何使用 Ounce/Ant,這是一種整合 AppScan® Source 和 Apache Ant 的 AppScan Source 建置公用程式。整合 Ounce/Ant 與 Ant 環境可協助您自動建置和進行程式碼評量。
您可以在 <install_dir>\sdk\sample\com\ouncelabs\sdk\sample(其中 <install_dir> 是 AppScan® Source 安裝位置) 所包含的 SamplePublished.java 和 SampleSdk.java 檔案中,找到幾個 Data Access API 實務的完整範例。
本節說明 Ounce/Maven 外掛程式,它利用 Maven(一種 Apache 建置工具),將 AppScan® Source 整合到 Maven 工作流程中。
Automation Server (ounceautod) 可讓您在軟體開發生命週期內,將 AppScan® Source 工作流程的關鍵作業自動化,並整合安全與建置環境。Automation Server可讓您將掃描及發佈評量的要求排入佇列中,並針對應用程式碼的安全產生報告。
ounceautod
AppScan® Source 提供一組 Java™ API,可讓您新增應用程式中所使用的架構支援。這些 API 提供的類別和方法可讓您說明不提供內建支援的架構。
AppScan® Source for Analysis 包含一個範例應用程式多個範例應用程式,您可利用它們讓自己熟悉該產品。
為了充分運用 AppScan® Source,您應該瞭解 AppScan Source for Analysis 工作環境背後的基本概念,以及如何使用最適合您的工作流程的選項。
這一節的視圖是用於配置 AppScan® Source。
這一節的視圖用於檢視和管理掃描輸出。
「評量差異」視圖代表「我的評量」視圖和「發現項目」視圖的組合。當您選取兩個要比較的評量時,會顯示兩個評量之間的差異。
「自訂發現項目」視圖會顯示目前開啟的評量中,現有的使用者定義發現項目或自訂發現項目。在這個視圖中,您可以建立、刪除和修改現行評量的自訂發現項目。當在「自訂發現項目」視圖中建立自訂發現項目時,新的發現項目會新增到現行評量中,且會更新評量度量。
「發現項目」視圖包含評量中各發現項目的資料。您可以利用這個主題所列的參數來將這些發現項目分組。
在「已排除的發現項目」視圖中,只包含已排除的發現項目。已排除的發現項目是您省略不掃描的發現項目。在這個視圖中,您可以搜尋特定的發現項目。這個視圖中的直欄與「發現項目」視圖中的直欄相同。
「已修改的發現項目」視圖包含現行應用程式所有已變更的發現項目。已修改的發現項目是漏洞類型、嚴重性、分類或附註已變更的發現項目。遺失的發現項目(不在目前所開啟之評量中的發現項目)顯示成綠色斜體,無法修改。
「已解決的發現項目」視圖會識別在組合之中,但不在現行評量中的發現項目。將發現項目識別為修正/遺漏的發現項目,是因為已將它解決、移除,或來源檔案未掃描。
當您搜尋發現項目時,結果會出現在「搜尋結果」視圖中。
「報告」視圖可讓您根據各種測量是否符合軟體安全最佳實務和規章需求的審核報告,來組織掃描結果。
「來源和接收槽」視圖可用來檢視基於輸入及輸出追蹤的發現項目。
這一節的視圖是用於調查單一發現項目。
這一節的視圖是用於以高階方式處理評量。
在「組合」視圖中,您可以建立新的組合、新增發現項目到組合中、檢視組合和附註、重新命名或刪除組合。這個視圖會列出組合名稱、附加於組合的任何附註、組合中的發現項目數,以及是否已排除這個組合。開啟組合來查看內容之後,您可以將發現項目移到其他組合中、修改發現項目、編輯程式碼,或將組合提交給問題追蹤系統。
「一般弱點列舉 (Common Weakness Enumeration, CWE)」是一份業界標準清單,可提供常見的軟體弱點的一般名稱。本主題列出 AppScan® Source 的現行版本中支援的 CWE ID。
瞭解一般產品專有名詞。
自助資訊、資源和工具,可讓您在使用 HCL® AppScan® Source 時針對問題進行疑難排解。