本節說明 AppScan® Source for Analysis 如何適用於 AppScan 來源 總體解決方案，並提供您瞭解軟體安全工作流程的基礎。

HCL® AppScan® 來源 可為您組織內每一個在軟體安全上擔任相關職務的使用者，帶來最大價值。不論是安全分析師、品保專業人員、開發人員或高階主管，AppScan 來源 產品都能直接在您桌面上提供您需要的功能、彈性和權限。

安裝 AppScan® 來源 時，務必遵循正確的安裝工作流程。這些主題引導您完成一些安裝實務範例所涉及的工作流程。

本節說明進階安裝選項和啟動程序。

您可以為了建立自訂安裝精靈而自訂安裝 - 或者您可以建立自訂安裝程式以無聲自動安裝產品。

AppScan® 來源自訂安裝精靈用來建立無聲自動安裝程式。

您可以從 Windows™「控制台」或利用 Linux™ 解除安裝 Script，以移除 AppScan® 來源。AppScan 來源 解除安裝不會移除或備份已安裝的 Oracle 資料庫。從 Oracle 實例中刪除 AppScan 來源 使用者是手動資料庫管理作業。

掃描之前，您必須先配置應用程式和專案。本節說明「應用程式探索助理」、「新建應用程式」精靈以及「新建專案精靈」。您將學習如何配置 AppScan® Source for Analysis 的屬性。另外，這個區段也教導您如何新增現有的應用程式和專案來進行掃描，以及如何新增檔案到專案中。

喜好設定是關於 AppScan® Source for Analysis 的外觀與操作的個人選擇。

本節說明使用者管理、許可權、應用程式及專案登錄和埠配置。

AppScan® 來源 提供一個方便的位置來審核使用者活動。「審核」視圖會記載向 AppScanEnterprise Server 鑑別、建立新使用者，以及在資料庫中建立新規則之類的事件。

大部分 AppScan® 來源 產品和元件都需要有 AppScanEnterprise Server 的連線。伺服器提供集中式使用者管理功能，以及提供透過 AppScan 來源資料庫來共用評量的機制。

如果要新增將透過 LDAP 鑑別的 AppScan® 來源 使用者，您必須已將 AppScanEnterprise Server 使用者儲存庫配置成使用 LDAP 儲存庫。

AppScan® 來源 應用程式和專案有對應的檔案，可維護掃描及分類自訂作業所需的配置資訊。建議您將這些檔案與原始碼放在同一個目錄下，因為建置專案所需的配置資訊（相依關係、編譯器選項等），與 AppScan 來源 順利掃描這些檔案所需的配置資訊非常類似。最佳實務包括使用來源控制系統管理這些檔案。

如果您在安裝產品期間安裝 solidDB® 資料庫，則必須配置 solidDB 使用者和管理使用者認證。依預設，solidDB 使用者的設定是使用者名稱 ounce 和密碼 ounce。預設資料庫管理員使用者名稱和密碼都是 dba。

本節說明如何掃描原始碼及管理評量。

將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源 評量以及分析結果。

當使用 AppScan® 來源 追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。

AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合，可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明，還有一個檔案，其中只含有隨著問題報告而提交的發現項目。

安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。

在「報告編輯器」中，您可以建立用來產生自訂報告的報告範本。

本節說明如何自訂資料庫，以及將自訂的漏洞及其他常式整合到掃描中。

AppScan® 來源 可讓您從 Apache Tomcat 及 WebSphere® 應用程式伺服器 Liberty 設定檔匯入 Java™ 應用程式。您可以如本主題所述，延伸應用程式伺服器匯入架構，以便從其他應用程式伺服器匯入 Java 應用程式。

Ounce/Make 這個工具可以從使用 makefile 的建置環境，自動將配置資訊匯入到 AppScan® 來源。Ounce/Make 讓您不需要從 makefiles 手動匯入配置資訊。

CLI 是核心 AppScan® 來源 功能的介面。

這一節說明如何使用 Ounce/Ant，這是一種整合 AppScan® 來源 和 Apache Ant 的 AppScan 來源 建置公用程式。整合 Ounce/Ant 與 Ant 環境可協助您自動建置和進行程式碼評量。

Data Access API 可提供存取 AppScan® 來源 產生的評量結果，其中包含發現項目和發現項目詳細資料。它也可提供存取分析日期和時間、程式碼行、V 密度及發現項目數之類的評量度量。

本節說明 Ounce/Maven 外掛程式，它利用 Maven（一種 Apache 建置工具），將 AppScan® 來源 整合到 Maven 工作流程中。

自動化伺服器 (ounceautod) 可讓您在軟體開發生命週期內，將 AppScan® 來源 工作流程的關鍵作業自動化，並整合安全與建置環境。自動化伺服器可讓您將掃描及發佈評量的要求排入佇列中，並針對應用程式碼的安全產生報告。

AppScan® 來源 提供一組 Java™ API，可讓您新增應用程式中所使用的架構支援。這些 API 提供的類別和方法可讓您說明不提供內建支援的架構。

AppScan® Source for Analysis 包含一個範例應用程式多個範例應用程式，您可利用它們讓自己熟悉該產品。

為了充分運用 AppScan® 來源，您應該瞭解 AppScan Source for Analysis 工作環境背後的基本概念，以及如何使用最適合您的工作流程的選項。

AppScan® Source for Development 的視圖和視窗提供發現項目的替代呈現方式，它們支援編輯程式碼，可讓您在工作台中導覽資訊。視圖可以單獨出現，也可以在標籤記事本中，與其他視圖堆疊起來。您可以開啟和關閉視圖，以及將它們定置在「工作台」視窗的不同位置，以變更視景或視窗的佈置。

「一般弱點列舉 (Common Weakness Enumeration, CWE)」是一份業界標準清單，可提供常見的軟體弱點的一般名稱。本主題列出 AppScan® 來源 的現行版本中支援的 CWE ID。

AppScan® Source for Development 也作為 MobileFirst Platform Application Scanning 提供。利用 MobileFirst Platform Application Scanning，您可以在現有的開發環境中作業，且可以對 IBM®MobileFirst Platform 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞，然後利用 AppScan Source Security 知識庫 的補救協助，將它們徹底消除。

HCL® AppScan® 來源 可為您組織內每一個在軟體安全上擔任相關職務的使用者，帶來最大價值。不論是安全分析師、品保專業人員、開發人員或高階主管，AppScan 來源 產品都能直接在您桌面上提供您需要的功能、彈性和權限。

在具有或沒有 AppScan®Enterprise Server 的情況下都可使用 AppScan Source for Development 外掛程式。在伺服器模式中，您連接至伺服器來執行掃描和存取共用的資料，就像在舊版產品中一樣。在新的本端模式中，AppScan Source for Development 在完全不連接 AppScanEnterprise Server 的情況下執行 - 您將無法存取共用項目，例如過濾器、掃描配置及自訂規則。

如果要開啟先前在 AppScan® Source for Analysis 中基於路徑變數所建立的評量或組合，您應該在開發環境中建立相符的變數。建立變數可確保資料可供多部電腦使用。如果要共用評量資料，您必須定義適當的變數。

視您要掃描的專案類型以及您要處理的掃描類型而定，您可能必須在執行掃描之前先配置它。例如，您可以將專案配置為使用依預設所設定的 JDK 或 JSP 編譯器以外的編譯器。

一般喜好設定可讓您調整某些 AppScan® Source for Development 預設值，以符合您的個人喜好設定。

一般喜好設定可讓您調整某些 AppScan® Source for Development 預設值，以符合您的個人喜好設定。

您可以掃描 Eclipse 或是 Rational® Application Developer for WebSphere® Software (RAD) 工作區、專案或檔案。這包括掃描 Java™（包括 Android）、JavaServer Pages (JSP) 及 IBM®MobileFirst Platform 專案。

AppScan® 來源 會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。

除了 AppScan® Source for Analysis 中的「評量差異」視圖之外，在所有含有發現項目的視圖中，您可以只將您想要看到的直欄及直欄次序識別出來，以自訂發現項目表格。每個視圖可以各有不同設定，您也可以將選項套用於所有視圖。如果要自訂直欄次序，請遵循這個作業主題中的步驟。

在包含發現項目的多重視圖中，您可以搜尋特定的發現項目。搜尋準則包含組合、程式碼、檔案、專案或漏洞類型。搜尋結果會出現在「搜尋結果」視圖中。

已修改的發現項目是漏洞類型、分類、嚴重性有了改變，或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式（因開啟其評量而在作用中的應用程式）的這些發現項目。在「我的評量」視圖（只限 AppScan® Source for Analysis）中，已修改直欄會指出發現項目是否在現行評量中有了改變。

AppScan® 來源 會發出安全錯誤或一般設計缺失的警示，且能夠在解決過程中提供協助。AppScan Source Security 知識庫（以及內部或外部的程式碼編輯器）可以在這個過程中提供協助。

掃描之後，您可能決定某些發現項目與目前的工作無關，在分類掃描結果時，不要它們出現在發現項目表格中。這些排除項目（或已排除的發現項目）不會再出現在「發現項目」視圖中，變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目，只會影響到後續的掃描。

AppScan® 來源 提供多種建立及使用過濾器的方法。「過濾器編輯器」視圖是建立過濾器的主視圖，它提供一組很健全的規則，您可以手動設定它們，然後將它們儲存在過濾器中。另外，「過濾器編輯器」視圖也提供了已建立過濾器的管理機制，您很容易修改或移除這些過濾器。另外，您也可以利用提供發現項目之圖形表示法的視圖，來過濾發現項目表格，然後在「過濾器編輯器」視圖中儲存這些過濾器。當您建立過濾器時，會更新其他視圖來反映過濾器內容。

掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間，當程式碼中發現支援的註釋或屬性時，會利用這項資訊，將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法，會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。

組合（發現項目的分組機制）可讓您從 AppScan® Source for Analysis 中，將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後，您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合，或開啟已儲存的組合檔 (file_name.ozbdl)。

當使用 AppScan® 來源 追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。

AppScan® Source for Development 的視圖和視窗提供發現項目的替代呈現方式，它們支援編輯程式碼，可讓您在工作台中導覽資訊。視圖可以單獨出現，也可以在標籤記事本中，與其他視圖堆疊起來。您可以開啟和關閉視圖，以及將它們定置在「工作台」視窗的不同位置，以變更視景或視窗的佈置。

當您安裝 AppScan® 來源 時，使用者資料和配置檔會儲存在安裝目錄之外。

「一般弱點列舉 (Common Weakness Enumeration, CWE)」是一份業界標準清單，可提供常見的軟體弱點的一般名稱。本主題列出 AppScan® 來源 的現行版本中支援的 CWE ID。

瞭解從 AppScan® 來源 自動分類和分析發現項目。

疑難排解是一種尋找及排除問題發生原因的程序。每次您的 IBM® 軟體發生問題時，當您自問發生什麼事？時，疑難排解處理程序旋即展開。

如果自助資源未能提供您問題的解決辦法，可聯絡 HCL® 軟體支援中心。HCL 軟體支援中心提供解決產品問題的協助。