主页
开发
了解如何使用该产品进行开发。
AppScan® 源跟踪
利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
AppScan® Source 跟踪扫描结果
扫描结果可能包含由 AppScan® Source 跟踪标识的跟踪。跟踪列中的图标指示存在调用图的跟踪。
验证和编码

开发
了解如何使用该产品进行开发。
- 扫描源代码和管理评估
  本部分说明如何扫描源代码和管理评估。
- 筛选和分析
  通过对相似发现结果进行分组，安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源评估分类和对结果进行分析。
- AppScan® 源跟踪
  利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
  - AppScan® Source 跟踪扫描结果
    扫描结果可能包含由 AppScan® Source 跟踪标识的跟踪。跟踪列中的图标指示存在调用图的跟踪。
    - 验证和编码
    - 搜索 AppScan® Source 跟踪
      如果您希望将跟踪结果分组，可以搜索源或接收器。这会导致跟踪结果出现在“搜索结果”视图中。
  - 输入/输出跟踪
    如果 AppScan® Source for Analysis 可以跟踪从已知源到接收器或丢失的接收器的数据，那么会生成输入/输出跟踪。
  - 使用“跟踪”视图
  - 验证和编码作用域
    从“跟踪”视图，可以指定定制验证和编码例程，这些例程一旦存储在 AppScan® Source Security Knowledgebase中，就会将数据标记为已检查而不是已感染。通过“定制规则向导”，可基于这些例程的作用域对其进行定义。
  - 从 AppScan® Source 跟踪创建定制规则
    您可以从“跟踪”视图创建定制规则，这样允许您可以使用跟踪来过滤感染传播器（而不是易受感染的影响）或接收器的结果。您还可以在跟踪中将方法标记为验证/编码例程（或指出它们是非验证/编码例程的）。
  - 用于跟踪的代码示例
    本部分提供了代码示例，用于演示如何跟踪从源到接收器的感染数据，以及如何创建验证和编码例程。
- AppScan® Source for Analysis 和缺陷跟踪
  AppScan® Source for Analysis 与缺陷跟踪系统IBM® Rational Team Concert™集成以直接向开发者桌面传递已确认的软件漏洞。提交到缺陷跟踪系统的缺陷包含对错误的文本描述和一个仅包含与缺陷一起提交的发现的文件。
- 发现结果报告和审计报告
  安全分析人员和风险管理员可以访问对选定结果的报告，或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
- 创建定制报告
  在报告编辑器中，可创建用于生成定制报告的报告模板。

验证和编码

验证是检查输入数据以确保其格式良好的过程。Validation.Required 发现指示沿着从源到接收器的给定数据路径没有发生验证。验证可以很简单，就是将数据绑定到最大长度，也可以很复杂，要检查名称和地址是否格式良好。验证还可以通过检测启用这些攻击的非法字符序列来检查攻击，例如：SQL 注入。

编码是将数据变换为格式良好的状态的过程。Validation.EncodingRequired 发现指示沿着从源到接收器的给定数据路径没有发生编码。编码可以很简单，就是转义字符，也可以很复杂，要加密数据。编码还可以通过将导致这些攻击的字符转义来阻止攻击，例如：跨站点脚本编制。

首次扫描时，AppScan® 源可能会将结果标识为可疑安全性结果。当您创建应用于特定源代码的验证或编码例程时，如果 AppScan® Source for Analysis 在从此源代码接收到数据后该指定验证或编码例程未被调用，那么它会将此结果报告为明确结果（而不是可疑结果）。

评估跟踪整个项目中已知源的数据。如果可以从已知源跟踪数据到已知接收器，那么指定的验证和编码例程可以确保不会以极大的输入数据进行恶意攻击。