跳转到主要内容
欢迎
欢迎使用 HCL® AppScan® 源 文档。
HCL® AppScan® 源 向贵组织中每个对软件安全性产生影响的用户都提供最大的价值。无论您是安全分析人员、质量保证专员、开发人员还是执行人员,AppScan 源 产品都直接在桌面上提供您所需的功能、灵活性和能力。
HCL® AppScan® 源 版本 10.1.0 自述文件和发行 Notes®
迁移到 AppScan® 源 的当前版本
本主题包含了已对 AppScan® 源 的此版本所做更改的迁移信息。如果您是从 AppScan 源 的较低版本进行升级,请确保留意所升级 AppScan 源 版本以及引向此当前版本的所有版本的更改。
重要概念
您在开始使用或管理 AppScan® 源 之前,应该让自己熟悉主要 AppScan 源 概念。本部分定义基本 AppScan 源 术语和概念。后续章节会重复这些定义以帮助您了解它们在 AppScan Source for Analysis 中的上下文。
AppScan® 源 部署模型
本节描述三种不同的部署模型以及每种模型包含的组件。
HCL® AppScan® Source for Analysis 简介
本部分描述 AppScan® Source for Analysis 如何适应总体 AppScan 源 解决方案并提供用于了解软件保证工作流程的基础知识。
AppScan® 源 产品登录 AppScan®Enterprise Server
大多数 AppScan® 源 产品和组件都需要与 AppScanEnterprise Server 连接。该服务器提供集中式用户管理功能和评估共享机制。所有用户管理工作均在 AppScan Enterprise 中执行。
美国政府法规遵从性
遵从美国政府的安全和信息技术法规有助于消除销售难题和障碍。这还向全球潜在客户提供了一个证据点,表明 HCL® 正在努力使其产品在行业中具有最高安全性。本主题列出了 AppScan® 源 支持的标准和准则。
AppScan® 源 和辅助功能选项
辅助功能选项将影响残障用户,如行动不便或视力受限的用户。辅助功能选项问题可能会阻碍功能成功使用软件产品。本主题概述了已知的 AppScan® 源 辅助功能选项问题及其背景。
声明
版权
AppScan® 源 新增内容
探索已添加到 AppScan® 源 的以下新功能,并请注意该发行版中已不推荐使用的任何功能部件和功能。
了解如何安装该产品。
系统需求和安装必备软件
样本安装方案
安装 AppScan® 源 时,遵循正确的安装工作流程很重要。以下主题将引导您完成一些样本安装方案中涉及的工作流程。
正在升级 AppScan® 源
高级安装和激活主题
本部分描述高级安装选项和激活过程。
AppScan® 源 静默安装程序
AppScan® 源 定制安装向导用于创建静默安装程序。
激活软件
从系统移除 AppScan® 源
可以通过 Windows™ 控制面板或 Linux™ 卸载脚本移除 AppScan® 源。AppScan 源 卸载不会移除或备份已安装的 Oracle 数据库。从 Oracle 实例删除 AppScan 源 用户是手动数据库管理任务。
了解如何配置该产品。
配置应用程序和项目
您必须先配置应用程序和项目,然后才能进行扫描。此部分说明 应用程序发现助手、“新建应用程序向导”和“新建项目向导”。您将了解如何配置 AppScan® Source for Analysis 的属性。此外,本部分还会教您如何添加现有应用程序和项目以供扫描 - 以及如何向项目添加文件。
首选项
首选项是关于 AppScan® Source for Analysis 的外观和操作的个人选项。
了解如何管理该产品。
管理 AppScan® 源
本节说明用户管理、许可权、应用程序和项目注册以及端口配置。
审计用户活动
AppScan® 源 为审计用户活动提供便利的位置。“审计”视图会记录事件,例如向 AppScanEnterprise Server 的认证、新用户的创建以及数据库中新规则的创建。
AppScan® 源 产品登录 AppScan®Enterprise Server
大多数 AppScan® 源 产品和组件都需要与 AppScanEnterprise Server 连接。该服务器提供集中式用户管理功能和评估共享机制。所有用户管理工作均在 AppScan Enterprise 中执行。
LDAP 集成
要添加将通过 LDAP 进行认证的 AppScan® 源 用户,那么必须先将 AppScanEnterprise Server 用户存储库配置为使用 LDAP 存储库。
注册应用程序和项目以发布到 AppScan® 源
AppScan® 源 应用程序和项目文件
AppScan® 源 应用程序和项目具有对应的文件,这些文件用来维护扫描以及筛选定制所需的配置信息。建议将这些文件与源代码放置在同一目录中,因为构建项目所需的配置信息(依赖性、编译器选项等)与 AppScan 源 成功扫描这些项目所需的配置信息非常相似。最佳实践包括以源代码控制系统管理这些文件。
端口配置
了解如何使用该产品进行开发。
扫描源代码和管理评估
本部分说明如何扫描源代码和管理评估。
筛选和分析
通过对相似发现结果进行分组,安全分析人员或 IT 审计员可以对源代码问题进行分段和分类。此部分说明如何将 AppScan® 源 评估分类和对结果进行分析。
AppScan® 源 跟踪
利用 AppScan® 源 跟踪,您可以确认符合您的软件安全性策略的输入验证和编码。可查看将产生输入/输出跟踪的结果,并可将方法标记为验证和编码例程、源/接收器、回调或感染传播器。
发现结果报告和审计报告
安全分析人员和风险管理员可以访问对选定结果的报告,或一系列用于度量与软件安全最佳做法和法规要求是否一致的审计报告。本部分说明如何创建对聚集结果数据的报告。
创建定制报告
在报告编辑器中,可创建用于生成定制报告的报告模板。
了解如何扩展该产品。
定制漏洞数据库和模式规则
本节描述如何定制数据库以及将定制的漏洞和其他例程集成到扫描中。
扩展应用程序服务器导入框架
AppScan® 源 允许您从 Apache Tomcat 和 WebSphere® Application Server Liberty 概要文件导入 Java™ 应用程序。您可以按照本主题中的说明,通过扩展应用程序服务器导入框架来从其他应用程序服务器导入 Java 应用程序。
HCL® AppScan® Source for Development(Eclipse 插件)
通过 AppScan® Source for Development,您可以在现有开发环境中工作,并对 Java 和 IBM®MobileFirst Platform 项目执行安全漏洞分析。通过安全性分析,可以准确定位源代码中的漏洞,并利用 AppScan Source Security Knowledgebase修复帮助来完全消除这些漏洞。
查看该产品的参考信息。
Ounce/Make 构建实用程序
Ounce/Make 是一种从使用 makefile 的构建环境自动将配置信息导入 AppScan® 源 的工具。通过使用 Ounce/Make 方法,将无需手动从 makefiles 导入配置信息;这是用于配置这些项目的推荐方法。
AppScan® Source 命令行界面 (CLI)
CLI 是核心 AppScan® 源 功能的界面。
Ounce/Ant 构建工具
此部分描述如何使用 Ounce/Ant,它是用于集成 AppScan® 源 和 Apache Ant 的 AppScan 源 构建实用程序。将 Ounce/Ant 与 Ant 环境集成有助于将构建和代码评估自动化。
AppScan® 源 Data Access API
Data Access API 提供对 AppScan® 源 所生成的评估结果(包括结果和结果详细信息)的访问权。它还提供对评估度量值如分析日期和时间、代码行、V-Density 和结果数的访问权。
术语表
了解该产品的通用术语。
可以通过多种自助信息资源和工具来诊断问题。
故障诊断过程概述
故障诊断是查找并排除问题起因的过程。每当使用软件遇到问题,在询问自己怎么回事时,故障诊断过程就开始了。
联系 HCL® 软件支持
如果自助资源尚未提供问题的解决方案,那么可与 HCL® 软件支持机构联系。HCL 软件支持机构对解决产品问题提供帮助。