重要概念

您在开始使用或管理 AppScan® 源 之前,应该让自己熟悉主要 AppScan 源 概念。本部分定义基本 AppScan 源 术语和概念。后续章节会重复这些定义以帮助您了解它们在 AppScan Source for Analysis 中的上下文。

AppScan Source for Analysis 扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞,而扫描的结果是评估是个别发现项的已命名集合,并通过应用程序进行存储。

应用程序、其属性以及项目在 AppScan Source for Analysis 中进行创建和组织:

  • 应用程序:应用程序包含一个或多个项目及其相关属性。
  • 项目:项目包含一组文件(包括源代码)及其相关信息(如配置数据)。项目总是应用程序的一部分。
  • 属性:属性是应用程序的特征,有助于将扫描结果组织为有意义的分组(如按部门或项目主管)。您在 AppScan Source for Analysis 中定义属性。

AppScan Source for Analysis 的主要活动是扫描源代码并分析漏洞。评估提供对源代码的漏洞分析,包括:

  • 严重性:高、中或低,指示风险级别
  • 漏洞类型:漏洞类别,如 SQL 注入或缓冲区溢出
  • 文件:文件:其中存在结果的代码文件
  • API/源:易受攻击调用,显示向其传递的 API 和参数。
  • 方法:发出易受攻击调用的函数或方法
  • 位置:代码文件中包含易受攻击的 API 的行和列号
  • 分类:安全性结果或扫描覆盖范围结果。有关更多信息,请参阅 分类