本部分描述 AppScan® Source for Analysis 如何适应总体 AppScan 源 解决方案并提供用于了解软件保证工作流程的基础知识。

HCL® AppScan® 源 向贵组织中每个对软件安全性产生影响的用户都提供最大的价值。无论您是安全分析人员、质量保证专员、开发人员还是执行人员，AppScan 源 产品都直接在桌面上提供您所需的功能、灵活性和能力。

安装 AppScan® 源 时，遵循正确的安装工作流程很重要。以下主题将引导您完成一些样本安装方案中涉及的工作流程。

本部分描述高级安装选项和激活过程。

可定制安装以达到创建定制安装向导的目的，或者可创建以静默方式安装产品的定制安装程序。

AppScan® 源 定制安装向导用于创建静默安装程序。

可以通过 Windows™ 控制面板或 Linux™ 卸载脚本移除 AppScan® 源。AppScan 源 卸载不会移除或备份已安装的 Oracle 数据库。从 Oracle 实例删除 AppScan 源 用户是手动数据库管理任务。

您必须先配置应用程序和项目，然后才能进行扫描。此部分说明 应用程序发现助手、“新建应用程序向导”和“新建项目向导”。您将了解如何配置 AppScan® Source for Analysis 的属性。此外，本部分还会教您如何添加现有应用程序和项目以供扫描 - 以及如何向项目添加文件。

首选项是关于 AppScan® Source for Analysis 的外观和操作的个人选项。

本节说明用户管理、许可权、应用程序和项目注册以及端口配置。

AppScan® 源 为审计用户活动提供便利的位置。“审计”视图会记录事件，例如向 AppScanEnterprise Server 的认证、新用户的创建以及数据库中新规则的创建。

大多数 AppScan® 源 产品和组件都需要与 AppScanEnterprise Server 连接。该服务器提供集中的用户管理功能，以及一种通过 AppScan 源数据库共享评估的机制。

要添加将通过 LDAP 进行认证的 AppScan® 源 用户，那么必须先将 AppScanEnterprise Server 用户存储库配置为使用 LDAP 存储库。

AppScan® 源 应用程序和项目具有对应的文件，这些文件用来维护扫描以及筛选定制所需的配置信息。建议将这些文件与源代码放置在同一目录中，因为构建项目所需的配置信息（依赖性、编译器选项等）与 AppScan 源 成功扫描这些项目所需的配置信息非常相似。最佳实践包括以源代码控制系统管理这些文件。

如果在产品安装过程中安装 solidDB® 数据库，那么必须配置 solidDB 用户和管理用户凭证。缺省情况下，solidDB 用户的设置为：用户名 ounce 和密码 ounce。缺省数据库管理员用户名和密码均为 dba。

本部分说明如何扫描源代码和管理评估。

通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源 评估分类和对结果进行分析。

利用 AppScan® 源 跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。

AppScan® Source for Analysis 与缺陷跟踪系统IBM® Rational Team Concert™集成以直接向开发者桌面传递已确认的软件漏洞。提交到缺陷跟踪系统的缺陷包含对错误的文本描述和一个仅包含与缺陷一起提交的发现的文件。

安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。

在报告编辑器中，可创建用于生成定制报告的报告模板。

本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。

AppScan® 源 允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明，通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。

Ounce/Make 是一种从使用 makefile 的构建环境自动将配置信息导入 AppScan® 源 的工具。使用 Ounce/Make 便无需手动从 makefiles 导入配置信息。

CLI 是核心 AppScan® 源 功能的界面。

此部分描述如何使用 Ounce/Ant，它是用于集成 AppScan® 源 和 Apache Ant 的 AppScan 源 构建实用程序。将 Ounce/Ant 与 Ant 环境集成有助于将构建和代码评估自动化。

Data Access API 提供对 AppScan® 源 所生成的评估结果（包括结果和结果详细信息）的访问权。它还提供对评估度量值如分析日期和时间、代码行、V-Density 和结果数的访问权。

此部分描述 Ounce/Maven 插件，它使用 Maven（一种 Apache 构建工具）将 AppScan® 源 集成到 Maven 工作流程中。

通过 自动化服务器 (ounceautod)，您可以在软件开发生命周期 (SDLC) 过程中使 AppScan® 源 工作流程的关键方面自动化，并且将安全性集成到构建环境中。通过 自动化服务器，您可以将扫描和发布评估的请求进行排队，并生成有关应用程序代码安全性的报告。

AppScan® 源 提供了一组 Java™ API，使您可以添加对您应用程序中使用的框架的支持。在这些 API 中提供的类和方法使您可以处理没有提供内置支持的框架。

AppScan® Source for Analysis 包含了可用于帮助您熟悉产品的样本应用程序样本应用程序。

要充分利用 AppScan® 源，您应该了解 AppScan Source for Analysis 工作环境背后的基本概念以及如何使用最适合于您的工作流程的选项。

AppScan® Source for Development 视图和窗口提供对结果的备选表示法，支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示，或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。

常用弱点枚举 (CWE) 是一种行业标准列表，它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® 源 的当前版本中受支持的 CWE 标识。

AppScan® Source for Development 也作为 MobileFirst Platform Application Scanning 交付。通过 MobileFirst Platform Application Scanning，您可以在现有开发环境中工作，并对 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。

HCL® AppScan® 源 向贵组织中每个对软件安全性产生影响的用户都提供最大的价值。无论您是安全分析人员、质量保证专员、开发人员还是执行人员，AppScan 源 产品都直接在桌面上提供您所需的功能、灵活性和能力。

可在具有或不具有 AppScan®Enterprise Server 的情况下使用 AppScan Source for Development 插件。在服务器方式下，连接到服务器以运行扫描并访问共享的数据，就如同先前产品版本中一样。在新的本地方式下，AppScan Source for Development 在从不连接到 AppScanEnterprise Server 的情况下运行，而您无法访问诸如过滤器、扫描配置和定制规则的共享项。

要打开先前在 AppScan® Source for Analysis 中创建的依赖于路径变量的评估或束，您应该在开发环境中创建匹配的变量。创建变量确保该数据在多台计算机中可用。要共享评估数据，您必须定义相应变量。

根据扫描的项目类型和要进行的扫描类型，可能需要在运行扫描前先进行配置。例如，可以将项目配置为使用非缺省设置的 JDK 或 JSP 编译器。

通过常规首选项，可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。

通过常规首选项，可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。

您可以扫描 Eclipse 或者 Rational® Application Developer for WebSphere® Software (RAD) 工作空间、项目或文件。这包括扫描 Java™（包括 Android）、JavaServer Pages (JSP) 和 IBM®MobileFirst Platform 项目。

AppScan® 源 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞，而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后，您可以将评估保存到文件。然后，您可以随时再次打开此评估。将评估另存为 filename.ozasmt。

在包含结果的所有视图（AppScan® Source for Analysis 中的“评估差异”视图除外）中，您都可以通过仅确认您希望看到的列以及列顺序来定制结果表。每个视图可能具有不同的设置，或者您可以将选项应用于所有视图。要定制列顺序，请遵循此任务主题中的步骤。

在包含结果的多个视图中，您可以搜索特定结果。搜索条件包括束、代码、文件、项目或漏洞类型。搜索结果在“搜索结果”视图中显示。

已修改的发现结果是已更改了漏洞类型、分类或严重性，或者具有注释的发现结果。“已修改的发现结果”视图显示当前应用程序（由于打开其评估而处于活动状态的应用程序）的这些发现结果。在“我的评估”视图中（仅在 AppScan® Source for Analysis 中可用），已修改列指示发现结果在当前评估中是否发生了更改。

AppScan® 源 针对安全错误或常见设计缺陷向您发出警报，并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。

扫描过后，您可确定与当前工作无关的发现结果，并且在对扫描结果分类时，使其在发现结果表中不可视。这些排除（或已排除的发现结果）将不再出现在“发现结果”视图中，而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。

AppScan® 源 提供多种方法来创建和使用过滤器。用于创建过滤器的主视图（“过滤器编辑器”视图）提供强大的规则集，可以手动设置这些规则，然后保存到过滤器。“过滤器编辑器”视图还提供一种机制来管理您已创建的过滤器，使您能够轻松地对其进行修改或移除。此外，您还可以使用提供了结果的图形表示法的视图来对结果表进行过滤，然后将这些过滤器保存在“过滤器编辑器”视图中。创建过滤器时，其他视图将更新以反映过滤器属性。

扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性，那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。

通过束（发现结果的分组机制），您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中，便可使用 AppScan Source for Development 来打开包含了束的项目，导入束，或者打开已保存的束文件 (file_name.ozbdl)。

利用 AppScan® 源 跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。

AppScan® Source for Development 视图和窗口提供对结果的备选表示法，支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示，或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。

安装 AppScan® 源 时，用户数据和配置文件存储在安装目录外。

常用弱点枚举 (CWE) 是一种行业标准列表，它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® 源 的当前版本中受支持的 CWE 标识。

了解如何自动分类和分析来自 AppScan® 源 的结果。

故障诊断是查找并排除问题起因的过程。每当使用 IBM® 软件遇到问题，在询问自己怎么回事时，故障诊断过程就开始了。

如果自助资源尚未提供问题的解决方案，那么可与 HCL® 软件支持机构联系。HCL 软件支持机构对解决产品问题提供帮助。