解決安全問題和檢視補救協助

AppScan® 來源 會發出安全錯誤或一般設計缺失的警示,且能夠在解決過程中提供協助。AppScan Source Security 知識庫(以及內部或外部的程式碼編輯器)可以在這個過程中提供協助。

執行這項作業的原因和時機

AppScan Source Security 知識庫 提供更正發現項目的建議。本環境定義內每一漏洞的知識,提供了關於主要原因、風險嚴重性和補救建議動作的精闢說明。例如,它將「緩衝區溢位」類型 strcpy() 描述為高度嚴重性層次,且提供此補救協助:

strcpy 容易發生目的地緩衝區溢位,因為它不知道目的地緩衝區的長度,因此無法檢查以確定是否要予以覆寫。您應該考慮使用含有長度參數的 strncpystrncpy 的安全風險程度雖然較低,但還是有風險。

如果要檢視 AppScan Source Security 知識庫,請執行下列動作:

程序

  • AppScan Source for Analysis 中,開啟「補救協助」視圖,然後在發現項目表格中選取發現項目。這時會顯示這個特定發現項目的補救協助。或者,可以從主功能表列選取說明 > 安全知識庫,在瀏覽器中開啟整個 AppScan Source Security 知識庫
  • AppScan Source for Development(Eclipse 外掛程式) 中,開啟「補救協助」視圖,然後在發現項目表格中選取發現項目。這時會顯示這個特定發現項目的補救協助。
  • AppScan Source for Development(Visual Studio 外掛程式)中,選取發現項目表格中的發現項目。從主功能表列選取 IBM Security AppScan Source > 知識庫說明,或用滑鼠右鍵按一下發現項目,然後從功能表中選取知識庫說明。這會開啟所選發現項目的補救協助。