Trace AppScan Source

La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.

AppScan Source trace le flux des données à travers une application, entre modules et langages. Il affiche les chemins de données potentiellement dangereuses dans un graphe d'appel, ce qui indique les zones où une application peut subir des vulnérabilités.

La fonction de trace vous aide à neutraliser les attaques par injection SQL, script intersite et autres attaques liées à la validation des entrées en identifiant l'absence de routines de validation et de codage des entrées approuvées dans les applications. Vous pouvez appliquer une trace interactive à la totalité du graphe d'appel en cliquant directement depuis la vue Trace pour visualiser la source dans l'environnement de développement ou l'éditeur de code de votre choix. La fonction de trace active également l'application de stratégies, en vous permettant d'identifier les routines approuvées requises pour une validation et un codage approprié, la propagation de taches, ou les collecteurs et sources, et les inclure dans des examens ultérieurs.

Lorsqu'un examen débouche sur une trace, vous pouvez créer des routines de validation ou de codage, des vulnérabilités, des collecteurs, des sources ou des propagateurs de taches pour des constatations spécifiques depuis la vue Trace. Par exemple, si vous marquez une routine comme étant une routine de validation dans AppScan Source for Analysis et que vous l'ajoutez à AppScan Base de connaissances de sécurité Source, les examens ultérieurs ne renvoient plus de constatations de type Validation.Required ou Validation.Encoding.Required pour les chemins de données sur lesquels ces routines sont appelées. Dans la vue Trace, vous pouvez également définir des vulnérabilités en tant que source, collecteur, ou les deux, et identifier une méthode en tant que propagateur de taches, rétro-appel entaché, ou non vulnérable aux taches.