主页
扩展产品功能
了解如何扩展该产品。
HCL® AppScan® Source for Development（Eclipse 插件）
通过 AppScan® Source for Development，您可以在现有开发环境中工作，并对 Java 和 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
Intelligent Findings Analytics (IFA)
了解如何自动分类和分析来自 AppScan® 源的结果。
解释 IFA 结果
IFA 将确定来自 SAST 安全评估的最具可操作性的结果。
修改第 1 阶段的预过滤器
第 1 阶段使用预定义的排除过滤器将结果设置为不考虑在内。

扩展产品功能
了解如何扩展该产品。
- 定制漏洞数据库和模式规则
  本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。
- 扩展应用程序服务器导入框架
  AppScan® 源允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明，通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。
- HCL® AppScan® Source for Development（Eclipse 插件）
  通过 AppScan® Source for Development，您可以在现有开发环境中工作，并对 Java 和 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
  - HCL® MobileFirst Platform Application Scanning
    AppScan® Source for Development 也作为 MobileFirst Platform Application Scanning 交付。通过 MobileFirst Platform Application Scanning，您可以在现有开发环境中工作，并对 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
  - 词汇表
  - AppScan® Source for Development 服务器方式和本地方式
    可在具有或不具有 AppScan®Enterprise Server 的情况下使用 AppScan Source for Development 插件。在服务器方式下，连接到服务器以运行扫描并访问共享的数据，就如同先前产品版本中一样。在新的本地方式下，AppScan Source for Development 在从不连接到 AppScanEnterprise Server 的情况下运行，而您无法访问诸如过滤器、扫描配置和定制规则的共享项。
  - 创建变量
    要打开先前在 AppScan® Source for Analysis 中创建的依赖于路径变量的评估或束，您应该在开发环境中创建匹配的变量。创建变量确保该数据在多台计算机中可用。要共享评估数据，您必须定义相应变量。
  - 配置扫描
    根据扫描的项目类型和要进行的扫描类型，可能需要在运行扫描前先进行配置。例如，可以将项目配置为使用非缺省设置的 JDK 或 JSP 编译器。
  - 常规首选项
    通过常规首选项，可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。
  - 常规首选项
    通过常规首选项，可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。
  - 扫描
    您可以扫描 Eclipse 或者 Rational® Application Developer for WebSphere® Software (RAD) 工作空间、项目或文件。这包括扫描 Java™（包括 Android）、JavaServer Pages (JSP) 和 IBM®MobileFirst Platform 项目。
  - 打开和保存评估
    AppScan® 源扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞，而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后，您可以将评估保存到文件。然后，您可以随时再次打开此评估。将评估另存为 filename.ozasmt。
  - 定制发现结果表
    在包含结果的所有视图（AppScan® Source for Analysis 中的“评估差异”视图除外）中，您都可以通过仅确认您希望看到的列以及列顺序来定制结果表。每个视图可能具有不同的设置，或者您可以将选项应用于所有视图。要定制列顺序，请遵循此任务主题中的步骤。
  - 将所选发现保存到评估
  - 搜索结果
    在包含结果的多个视图中，您可以搜索特定结果。搜索条件包括束、代码、文件、项目或漏洞类型。搜索结果在“搜索结果”视图中显示。
  - 修改发现结果
    已修改的发现结果是已更改了漏洞类型、分类或严重性，或者具有注释的发现结果。“已修改的发现结果”视图显示当前应用程序（由于打开其评估而处于活动状态的应用程序）的这些发现结果。在“我的评估”视图中（仅在 AppScan® Source for Analysis 中可用），已修改列指示发现结果在当前评估中是否发生了更改。
  - 解决安全问题以及查看修复帮助
    AppScan® 源针对安全错误或常见设计缺陷向您发出警报，并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。
  - 通过排除进行分类
    扫描过后，您可确定与当前工作无关的发现结果，并且在对扫描结果分类时，使其在发现结果表中不可视。这些排除（或已排除的发现结果）将不再出现在“发现结果”视图中，而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。
  - 创建和管理过滤器
    AppScan® 源提供多种方法来创建和使用过滤器。用于创建过滤器的主视图（“过滤器编辑器”视图）提供强大的规则集，可以手动设置这些规则，然后保存到过滤器。“过滤器编辑器”视图还提供一种机制来管理您已创建的过滤器，使您能够轻松地对其进行修改或移除。此外，您还可以使用提供了结果的图形表示法的视图来对结果表进行过滤，然后将这些过滤器保存在“过滤器编辑器”视图中。创建过滤器时，其他视图将更新以反映过滤器属性。
  - 支持的注释和属性
    扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性，那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。
  - 处理束
    通过束（发现结果的分组机制），您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中，便可使用 AppScan Source for Development 来打开包含了束的项目，导入束，或者打开已保存的束文件 (file_name.ozbdl)。
  - AppScan® 源跟踪
    利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
  - 视图和窗口
    AppScan® Source for Development 视图和窗口提供对结果的备选表示法，支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示，或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。
  - 安装和用户数据文件位置
    安装 AppScan® 源时，用户数据和配置文件存储在安装目录外。
  - CWE 支持
    常用弱点枚举 (CWE) 是一种行业标准列表，它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® 源的当前版本中受支持的 CWE 标识。
  - Intelligent Findings Analytics (IFA)
    了解如何自动分类和分析来自 AppScan® 源的结果。
    - 静态分析安全测试
      静态分析安全测试 (SAST) 是识别程序中潜在安全缺陷的有效方法。
    - 解释 IFA 结果
      IFA 将确定来自 SAST 安全评估的最具可操作性的结果。
      - 修改第 1 阶段的预过滤器
        第 1 阶段使用预定义的排除过滤器将结果设置为不考虑在内。
      - 修改第 2 阶段的培训集
        第 2 阶段对所有剩余结果使用受监督的机器学习技术，来确定结果是否可操作。
      - 在评估文件中包括已排除的发现结果

修改第 1 阶段的预过滤器

第 1 阶段使用预定义的排除过滤器将结果设置为不考虑在内。

预过滤机制仅使用排除类型过滤器，并采用 AppScan® 源中当前使用的格式。排除过滤器位于此处：

<data_dir>\ml\scan_filters\exclude

该目录包括一个常规目录，以及一些特定于编程语言的子目录。常规目录中的过滤器适用于已提交给 IFA 的任何语言的所有评估。特定于语言的子目录中的过滤器仅适用于该特定语言的评估。可以将 HCL AppScan Source for Analysis 中使用的过滤器复制到正确目录中，这些过滤器将应用于全局排除结果（如果位于常规文件夹中），或者用于特定语言的结果（如果位于特定于语言的文件夹中）。过滤器必须仅非反转排除，否则将不应用。特定用途的过滤器如下所示：

位于以下地址的 vulnerabilities.off 中列出了所有漏洞：
```
<data_dir>\ml\scan_filters\Vulnerabilities.off
```
位于以下地址的 IFA1001.off 中列出了当前在 IFA 期间排除的漏洞（不考虑在内）：
```
<data_dir>\ml\scan_filters\exclude\general\IFA1001.off
```

其中 <data_dir> 是 AppScan® 源程序数据的位置，如安装和用户数据文件位置中所述。

通过删除用于表示要在 IFA 机器学习过程中考虑的漏洞的行来修改列表。