主页
扩展产品功能
了解如何扩展该产品。
HCL® AppScan® Source for Development（Eclipse 插件）
通过 AppScan® Source for Development，您可以在现有开发环境中工作，并对 Java 和 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
解决安全问题以及查看修复帮助
AppScan® 源针对安全错误或常见设计缺陷向您发出警报，并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。

扩展产品功能
了解如何扩展该产品。
- 定制漏洞数据库和模式规则
  本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。
- 扩展应用程序服务器导入框架
  AppScan® 源允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明，通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。
- HCL® AppScan® Source for Development（Eclipse 插件）
  通过 AppScan® Source for Development，您可以在现有开发环境中工作，并对 Java 和 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
  - HCL® MobileFirst Platform Application Scanning
    AppScan® Source for Development 也作为 MobileFirst Platform Application Scanning 交付。通过 MobileFirst Platform Application Scanning，您可以在现有开发环境中工作，并对 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析，可以准确定位源代码中的漏洞，并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
  - 词汇表
  - AppScan® Source for Development 服务器方式和本地方式
    可在具有或不具有 AppScan®Enterprise Server 的情况下使用 AppScan Source for Development 插件。在服务器方式下，连接到服务器以运行扫描并访问共享的数据，就如同先前产品版本中一样。在新的本地方式下，AppScan Source for Development 在从不连接到 AppScanEnterprise Server 的情况下运行，而您无法访问诸如过滤器、扫描配置和定制规则的共享项。
  - 创建变量
    要打开先前在 AppScan® Source for Analysis 中创建的依赖于路径变量的评估或束，您应该在开发环境中创建匹配的变量。创建变量确保该数据在多台计算机中可用。要共享评估数据，您必须定义相应变量。
  - 配置扫描
    根据扫描的项目类型和要进行的扫描类型，可能需要在运行扫描前先进行配置。例如，可以将项目配置为使用非缺省设置的 JDK 或 JSP 编译器。
  - 常规首选项
    通过常规首选项，可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。
  - 常规首选项
    通过常规首选项，可以定制部分 AppScan® Source for Development 缺省设置以符合您的个人偏好。
  - 扫描
    您可以扫描 Eclipse 或者 Rational® Application Developer for WebSphere® Software (RAD) 工作空间、项目或文件。这包括扫描 Java™（包括 Android）、JavaServer Pages (JSP) 和 IBM®MobileFirst Platform 项目。
  - 打开和保存评估
    AppScan® 源扫描源代码以查找漏洞并生成结果。结果是在扫描期间确认的漏洞，而扫描的结果是评估。您可以从 AppScan Source for Development 或 AppScan Source for Analysis 打开已保存的评估。扫描之后，您可以将评估保存到文件。然后，您可以随时再次打开此评估。将评估另存为 filename.ozasmt。
  - 定制发现结果表
    在包含结果的所有视图（AppScan® Source for Analysis 中的“评估差异”视图除外）中，您都可以通过仅确认您希望看到的列以及列顺序来定制结果表。每个视图可能具有不同的设置，或者您可以将选项应用于所有视图。要定制列顺序，请遵循此任务主题中的步骤。
  - 将所选发现保存到评估
  - 搜索结果
    在包含结果的多个视图中，您可以搜索特定结果。搜索条件包括束、代码、文件、项目或漏洞类型。搜索结果在“搜索结果”视图中显示。
  - 修改发现结果
    已修改的发现结果是已更改了漏洞类型、分类或严重性，或者具有注释的发现结果。“已修改的发现结果”视图显示当前应用程序（由于打开其评估而处于活动状态的应用程序）的这些发现结果。在“我的评估”视图中（仅在 AppScan® Source for Analysis 中可用），已修改列指示发现结果在当前评估中是否发生了更改。
  - 解决安全问题以及查看修复帮助
    AppScan® 源针对安全错误或常见设计缺陷向您发出警报，并在解决过程中提供帮助。AppScan Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。
  - 通过排除进行分类
    扫描过后，您可确定与当前工作无关的发现结果，并且在对扫描结果分类时，使其在发现结果表中不可视。这些排除（或已排除的发现结果）将不再出现在“发现结果”视图中，而且将使用更改的结果立即更新评估度量值。添加到配置中的过滤器和束排除仅在后续扫描中生效。
  - 创建和管理过滤器
    AppScan® 源提供多种方法来创建和使用过滤器。用于创建过滤器的主视图（“过滤器编辑器”视图）提供强大的规则集，可以手动设置这些规则，然后保存到过滤器。“过滤器编辑器”视图还提供一种机制来管理您已创建的过滤器，使您能够轻松地对其进行修改或移除。此外，您还可以使用提供了结果的图形表示法的视图来对结果表进行过滤，然后将这些过滤器保存在“过滤器编辑器”视图中。创建过滤器时，其他视图将更新以反映过滤器属性。
  - 支持的注释和属性
    扫描期间将处理用于修饰代码的一些注释或属性。如果扫描期间在代码内找到受支持的注释或属性，那么会使用该信息将已修饰方法标记为受感染回调。标记为受感染回调的方法将被视为其所有参数都包含受感染的数据。这会使得跟踪发现更多内容。本帮助主题中列出了受支持的注释和属性。
  - 处理束
    通过束（发现结果的分组机制），您可以将多个发现结果的快照从 AppScan® Source for Analysis 导入到 AppScan Source for Development。一旦发现结果置于束中，便可使用 AppScan Source for Development 来打开包含了束的项目，导入束，或者打开已保存的束文件 (file_name.ozbdl)。
  - AppScan® 源跟踪
    利用 AppScan® 源跟踪，您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果，并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
  - 视图和窗口
    AppScan® Source for Development 视图和窗口提供对结果的备选表示法，支持代码编辑并使您能够在工作台中浏览信息。视图可能单独显示，或者与其他视图以堆栈化方式显示在选项卡式笔记本中。您可以通过打开和关闭视图以及将其悬停在“工作台”窗口中的不同位置来更改透视图的布局或窗口布局。
  - 安装和用户数据文件位置
    安装 AppScan® 源时，用户数据和配置文件存储在安装目录外。
  - CWE 支持
    常用弱点枚举 (CWE) 是一种行业标准列表，它提供了公众熟知的软件弱点的常见名称。该主题列出了 AppScan® 源的当前版本中受支持的 CWE 标识。
  - Intelligent Findings Analytics (IFA)
    了解如何自动分类和分析来自 AppScan® 源的结果。

解决安全问题以及查看修复帮助

AppScan® 源针对安全错误或常见设计缺陷向您发出警报，并在解决过程中提供帮助。AppScan® Source Security Knowledgebase以及内部或外部代码编辑器可帮助执行此过程。

关于此任务

AppScan® Source Security Knowledgebase提供关于更正结果的建议。关于每个漏洞的此上下文中情报分析提供关于根源、风险严重性以及可操作的修复建议的精确描述。例如，它将 strcpy()（一种缓冲区溢出类型）描述为具有高严重性级别，并提供以下修复帮助：

strcpy 易于发生目标缓冲区溢出，因为它不知道目标缓冲区的长度，因而无法进行检查以确保它没有覆盖此缓冲区。您应考虑使用带有长度参数的 strncpy。strncpy 也会产生安全性风险，尽管程度较小。

要查看 AppScan® Source Security Knowledgebase，请执行以下操作：

过程

在 AppScan® Source for Analysis 中，打开“修复方式”视图，然后在结果表中选择一个结果。将显示该特定发现结果的修复帮助。或者，从主菜单栏中选择帮助 > 安全知识库以在浏览器中打开整个 AppScan® Source Security Knowledgebase。
在 AppScan® Source for Development（Eclipse 插件）中，打开“修复方式”视图，然后在结果表中选择一个结果。将显示该特定发现结果的修复帮助。
在 AppScan® Source for Development（Visual Studio 插件）中，选择结果表中的一个结果。从主菜单栏中选择 AppScan Source > 知识库帮助，或者右键单击此结果并从菜单选择知识库帮助。这将打开所选结果的修复帮助。