了解如何扩展该产品。
通过 AppScan® Source for Development,您可以在现有开发环境中工作,并对 Java 和 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
根据扫描的项目类型和要进行的扫描类型,可能需要在运行扫描前先进行配置。例如,可以将项目配置为使用非缺省设置的 JDK 或 JSP 编译器。
本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。
AppScan® 源 允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明,通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。
AppScan® Source for Development 也作为 MobileFirst Platform Application Scanning 交付。通过 MobileFirst Platform Application Scanning,您可以在现有开发环境中工作,并对 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
可在具有或不具有 AppScan®Enterprise Server 的情况下使用 AppScan Source for Development 插件。在服务器方式下,连接到服务器以运行扫描并访问共享的数据,就如同先前产品版本中一样。在新的本地方式下,AppScan Source for Development 在从不连接到 AppScanEnterprise Server 的情况下运行,而您无法访问诸如过滤器、扫描配置和定制规则的共享项。
要打开先前在 AppScan® Source for Analysis 中创建的依赖于路径变量的评估或束,您应该在开发环境中创建匹配的变量。创建变量确保该数据在多台计算机中可用。要共享评估数据,您必须定义相应变量。
要配置 Java™ 项目以进行安全扫描,请遵循本主题中的指示信息。
通过常规首选项,可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。
您可以扫描 Eclipse 或者 Rational® Application Developer for WebSphere® Software (RAD) 工作空间、项目或文件。这包括扫描 Java™(包括 Android)、JavaServer Pages (JSP) 和 IBM®MobileFirst Platform 项目。
AppScan® 源 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞,而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后,您可以将评估保存到文件。然后,您可以随时再次打开此评估。将评估另存为 filename.ozasmt。
在包含结果的所有视图(AppScan® Source for Analysis 中的“评估差异”视图除外)中,您都可以通过仅确认您希望看到的列以及列顺序来定制结果表。每个视图可能具有不同的设置,或者您可以将选项应用于所有视图。要定制列顺序,请遵循此任务主题中的步骤。
在包含结果的多个视图中,您可以搜索特定结果。搜索条件包括束、代码、文件、项目或漏洞类型。搜索结果在“搜索结果”视图中显示。
已修改的发现结果是已更改了漏洞类型、分类或严重性,或者具有注释的发现结果。“已修改的发现结果”视图显示当前应用程序(由于打开其评估而处于活动状态的应用程序)的这些发现结果。在“我的评估”视图中(仅在 AppScan® Source for Analysis 中可用),已修改列指示发现结果在当前评估中是否发生了更改。
AppScan® 源 针对安全错误或常见设计缺陷向您发出警报,并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。
扫描过后,您可确定与当前工作无关的发现结果,并且在对扫描结果分类时,使其在发现结果表中不可视。这些排除(或已排除的发现结果)将不再出现在“发现结果”视图中,而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。
AppScan® 源 提供多种方法来创建和使用过滤器。用于创建过滤器的主视图(“过滤器编辑器”视图)提供强大的规则集,可以手动设置这些规则,然后保存到过滤器。“过滤器编辑器”视图还提供一种机制来管理您已创建的过滤器,使您能够轻松地对其进行修改或移除。此外,您还可以使用提供了结果的图形表示法的视图来对结果表进行过滤,然后将这些过滤器保存在“过滤器编辑器”视图中。创建过滤器时,其他视图将更新以反映过滤器属性。
扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性,那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。
通过束(发现结果的分组机制),您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中,便可使用 AppScan Source for Development 来打开包含了束的项目,导入束,或者打开已保存的束文件 (file_name.ozbdl)。
利用 AppScan® 源 跟踪,您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果,并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
AppScan® Source for Development 视图和窗口提供对结果的备选表示法,支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示,或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。
安装 AppScan® 源 时,用户数据和配置文件存储在安装目录外。
常用弱点枚举 (CWE) 是一种行业标准列表,它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® 源 的当前版本中受支持的 CWE 标识。
了解如何自动分类和分析来自 AppScan® 源 的结果。