Accueil
Développement
Apprenez à développer à l'aide du produit.
Trace AppScan® Source
La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
Exemples de code pour le traçage
Cette section fournit des exemples de code qui illustrent le suivi de trace de données entachées depuis une source vers un collecteur et décrivent comment créer une routine de validation et de codage.
Exemple 1 : d'une source au collecteur

Développement
Apprenez à développer à l'aide du produit.
- Examen du code source et gestion des évaluations
  Cette section explique comment examiner votre code source et gérer les évaluations.
- Triage et analyse
  Le regroupement de constatations similaires permet aux analystes de la sécurité ou aux auditeurs du service informatique d'effectuer une segmentation et un triage des problèmes affectant le code source. Cette section explique comment procéder au triage des évaluations AppScan® Source et à l'analyse des résultats.
- Trace AppScan® Source
  La trace AppScan® Source permet de vérifier que la validation et le codage des entrées répondent à vos règles de sécurité logicielle. Elle permet d'examiner les constatations qui génèrent des traces d'entrée/sortie et de marquer des méthodes en tant que routines de validation et codage, sources ou collecteurs, rétro-appels ou propagateurs de taches.
  - Résultats d'examen de la AppScan® Trace Source
    Les résultats de l'examen peuvent inclure des traces identifiées par une AppScan® Trace Source. L'icône dans la colonne Trace indique l'existence d'une trace du graphe d'appels.
  - traçage des entrées/sorties
    Une trace des entrées/sorties est générée lorsque AppScan® Source for Analysis peut suivre le cheminement des données depuis une source connue vers un collecteur ou un collecteur indéterminé.
  - Utilisation de la vue Trace
  - Portée de la validation et du codage
    Depuis la vue Trace, vous pouvez spécifier des routines de validation et de codage personnalisées qui, une fois stockées dans la AppScan® Base de connaissances de sécurité Source, marquent les données comme étant vérifiées plutôt qu'entachées. A l'aide de l'assistant Règles personnalisées, vous devez définir ces routines en fonction de leur portée.
  - Création de règles personnalisées depuis une AppScan® Trace Source
    Vous pouvez créer depuis la vue Trace des règles personnalisées qui vous permettent de filtrer les constatations comportant des traces qui sont des propagateurs de tâche, non vulnérables aux tâches ou des collecteurs. Vous pouvez également marquer les méthodes dans la trace comme des routines de validation/codage (ou indiquer qu'il ne s'agit pas de routines de validation/codage).
  - Exemples de code pour le traçage
    Cette section fournit des exemples de code qui illustrent le suivi de trace de données entachées depuis une source vers un collecteur et décrivent comment créer une routine de validation et de codage.
    - Exemple 1 : d'une source au collecteur
    - Exemple 2 : d'une source au collecteur, avec modification
      L'exemple 2 est une modification du code de l'exemple 1. Il étend l'exemple 1 en ajoutant une routine de validation, appelée getVulnerableSource, et une routine de codage, appelée dans writeToVulnerableSink.
    - Exemple 3 : fichiers source et collecteur modifiés
    - Exemple 4 : validation approfondie
      Lorsque vous examinez le code de l'exemple 4, le premier examen inclut trois AppScan® Traces Source avec une racine aux routines de trace correspondantes. Suppose la sélection de la méthode FileInputStream.read dans trace1 et l'ajout de la routine validate. Les sections à la suite de l'exemple de code source décrivent les effets de chaque portée pour la routine de validation.
- AppScan® Source for Analysis et suivi des défauts
  AppScan® Source for Analysis s'intègre à systèmes de suivi des incidentsIBM® Rational Team Concert™ pour signaler directement les vulnérabilités logicielles avérées au bureau du développeur. La soumission de défaut à un système de suivi des défauts comprend une description du bogue, ainsi qu'un fichier contenant uniquement les constatations soumises avec le défaut.
- Recherche des rapports et des rapports d'audit
  Les analystes de la sécurité et les gestionnaires des risques peuvent accéder à des rapports sur des constatations spécifiques ou à une série de rapports d'audit évaluant la conformité avec les pratiques optimales en matière de sécurité et les exigences réglementaires. Cette section décrit comment créer des rapports sur les données de constatations agrégées.
- Création de rapports personnalisés
  Dans l'éditeur de rapport, vous pouvez créer des modèles de rapport servant à générer des rapports personnalisés.

Exemple 1 : d'une source au collecteur

Dans l'exemple de code suivant, la méthode principale appelle une méthode, getVulnerableSource, qui renvoie une chaîne. Notez que bien que la méthode lise des données depuis un fichier complètement inconnu, elle ne vérifie jamais la validité des données renvoyées. La méthode principale transmet alors ces données entachées dans writeToVulnerableSink. La méthode writeToVulnerableSink écrit les données dans le fichier, sans jamais vérifier leur validité.

import java.io.*;

public class TestCase_IOT_Static {
  public static void main(String[] args) {
    try {
      writeToVulnerableSink(getVulnerableSource(args[0]));
    } catch (Exception e) {
    }
  }

  public static String getVulnerableSource(String file)
    throws java.io.IOException, java.io.FileNotFoundException {
    FileInputStream fis = new FileInputStream(file);
    byte[] buf = new byte[100];
    fis.read(buf);
    String ret = new String(buf);
    fis.close();
    return ret;
  }

  public static void writeToVulnerableSink(String str)
    throws java.io.FileNotFoundException {
    FileOutputStream fos = new FileOutputStream(str);
    PrintWriter writer = new PrintWriter(fos);
    writer.write(str);
  }
}

L'exemple de code génère la trace suivante :

Vue Trace

Le panneau présente la pile d'entrée dans laquelle main appelle getVulnerableSource qui appelle FileInputStream.read - et la pile de sortie dans laquelle main appelle writeToVulnerableSink qui appelle PrintWriter.write. Le graphique décrit le flux de données depuis la méthode de lecture vers la méthode d'écriture avec la méthode main joignant les deux piles d'appels. La section Flux de données indique les numéros de ligne des opérations de la méthode main qui transmettent la tache. Dans cet exemple, les deux appels de méthode existent sur la même ligne (ligne 15) dans la méthode (dans l'exemple de code ci-dessus, cela est transmis au numéro de ligne 7 - dans la capture d'écran, le fichier inclut 8 lignes de commentaires).