主页
开发
了解如何使用该产品进行开发。
AppScan® 源跟踪
利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
输入/输出跟踪
如果 AppScan® Source for Analysis 可以跟踪从已知源到接收器或丢失的接收器的数据，那么会生成输入/输出跟踪。

开发
了解如何使用该产品进行开发。
- 扫描源代码和管理评估
  本部分说明如何扫描源代码和管理评估。
- 筛选和分析
  通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源评估分类和对结果进行分析。
- AppScan® 源跟踪
  利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
  - AppScan® Source 跟踪扫描结果
    扫描结果可能包含由 AppScan® Source 跟踪标识的跟踪。跟踪列中的图标指示存在调用图的跟踪。
  - 输入/输出跟踪
    如果 AppScan® Source for Analysis 可以跟踪从已知源到接收器或丢失的接收器的数据，那么会生成输入/输出跟踪。
  - 使用“跟踪”视图
  - 验证和编码作用域
    从“跟踪”视图，可以指定定制验证和编码例程，这些例程一旦存储在 AppScan® Source Security Knowledgebase中，就会将数据标记为已检查而不是已感染。通过“定制规则向导”，可基于这些例程的作用域对其进行定义。
  - 从 AppScan® Source 跟踪创建定制规则
    您可以从“跟踪”视图创建定制规则，这样允许您可以使用跟踪来过滤感染传播器（而不是易受感染的影响）或接收器的结果。您还可以在跟踪中将方法标记为验证/编码例程（或指出它们是非验证/编码例程的）。
  - 用于跟踪的代码示例
    本部分提供了代码示例，用于演示如何跟踪从源到接收器的感染数据，以及如何创建验证和编码例程。
- AppScan® Source for Analysis 和缺陷跟踪
  AppScan® Source for Analysis 与缺陷跟踪系统IBM® Rational Team Concert™集成以直接向开发者桌面传递已确认的软件漏洞。提交到缺陷跟踪系统的缺陷包含对错误的文本描述和一个仅包含与缺陷一起提交的发现的文件。
- 发现结果报告和审计报告
  安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
- 创建定制报告
  在报告编辑器中，可创建用于生成定制报告的报告模板。

输入/输出跟踪

如果 AppScan® Source for Analysis 可以跟踪从已知源到接收器或丢失的接收器的数据，那么会生成输入/输出跟踪。

输入/输出跟踪

如果代码分析可以跟踪感染的源到接收器或丢失的接收器，那么分析将生成输入/输出跟踪。跟踪的原理是从感染源获取数据并将其传递到一系列调用（最终写入不受保护的接收器）的方法。

源和接收器

源：源是对程序的输入，如文件、servlet 请求、控制台输入或套接字。对于大多数输入源，返回的数据在内容和长度方面没有限制。在未检查某个输入的情况下，会将其视为已感染。源列在任一结果表的源列中。
接收器：接收器可以是可将数据写出到的任何外部格式。接收器示例包括数据库、文件、控制台输出和套接字。数据未经检查就写入接收器可能预示着严重的安全漏洞。
丢失的接收器是无法继续跟踪的 API 方法。