AppScan® Source 追蹤建立自訂規則

您可以從「追蹤」視圖來建立自訂規則,讓您濾除包含污染傳播者、不容易遭受污染或接收槽等追蹤的發現項目。您也可以將追蹤中的方法標記為驗證/編碼常式(或指出它們不是驗證/編碼常式)。

執行這項作業的原因和時機

請參閱範例 2:從「追蹤」視圖建立驗證/編碼常式,取得建立驗證和編碼常式的原始碼、輸出和程序的範例。

1. 「追蹤」視圖節點的有效標示
選取的方法 有效標示
中介節點
  • 驗證/編碼常式
  • 不容易遭受污染
  • 不是驗證/編碼常式
遺失的接收槽
  • 污染傳播者
  • 不容易遭受污染
  • 接收槽

程序

  1. 在「追蹤」視圖中,用滑鼠右鍵按一下您要建立自訂規則的方法或節點,然後選擇要建立的自訂規則;或選取方法或節點,然後按一下適當的自訂規則工具列按鈕。標示常式和方法的選項如下:
    選項敘述
    標示為驗證/編碼常式
    「標示為驗證/編碼常式」圖示
    標示為不是驗證/編碼常式
    「標示為不是驗證/編碼常式」圖示
    標示為污染傳播者
    「標示為污染傳播者」圖示
    標示為不容易遭受污染
    「標示為不容易遭受污染」圖示
    標示為接收槽
    「標示為接收槽」圖示
    註: 如果您要建立自訂規則的方法在「追蹤」視圖中沒有項目,請按一下啟動自訂規則精靈來新增不在追蹤圖上的驗證常式。在「自訂規則精靈」中,請繼續至「選取驗證/編碼常式」頁面。選取驗證常式,然後根據下一步中的指示來指定位置、範圍、任何來源或接收槽,或任何內容。請參閱範例 2:從「自訂規則精靈」建立驗證/編碼常式,以取得使用此精靈建立驗證常式的詳細資料。
  2. 如果您建立的自訂規則會將方法標示為接收槽或驗證/編碼常式,您可能需要進一步設定:
    1. 如果將方法標示為接收槽,請指定接收槽屬性:
      • 漏洞類型
      • 嚴重性
    2. 對於驗證常式,請指定位置和範圍;以及驗證常式要套用的任何來源或接收槽,或其內容。
      指定如何套用這個驗證常式
      • 套用於
        • 這個對於 <方法名稱> 的呼叫(呼叫位置特定):只套用至這個呼叫的輸入。
        • 任何對於 <方法名稱> 的呼叫(API 特定):套用至任何對於此方法之呼叫所使用的驗證/編碼常式。
        • 不考量 <方法名稱>,以下指定的所有限制項:容許規則影響所有的來源。
      • 範圍
        • 套用於這個專案:如果選取,規則會儲存在專案 (.ppf) 檔中。
        • 套用於所有專案:以此設定建立的驗證規則將會與其他使用者分享。
      • 來源:選取應套用驗證常式的一或多個輸入來源。如果要新增來源,請按一下新增,然後從「選擇簽章」對話框中選取來源。如果要新增多個來源,您可以在「選擇簽章」對話框中複選來源。
      • 接收槽:選取應套用驗證常式的一或多個接收槽。如果要新增接收槽,請按一下新增,然後從「選擇簽章」對話框中選取接收槽。如果要新增多個接收槽,您可以在「選擇簽章」對話框中複選接收槽。
      • 來源內容:如果要讓規則清除從具有特定內容之來源中開始的追蹤,請按一下新增 VMAT 內容,然後從「選擇內容」對話框中選取內容。如果要新增多個內容,您可以在「選擇內容」對話框中複選內容。
      • 接收槽內容:如果要讓規則濾除在具有特定內容之接收槽中結束的追蹤,請按一下新增 VMAT 內容,然後從「選擇內容」對話框中選取內容。如果要新增多個內容,您可以在「選擇內容」對話框中複選內容。
  3. 在「追蹤」視圖中建立自訂規則之後,您必須重新掃描您的程式碼,以查看反映在發現項目清單和追蹤資料中的規則。您在「追蹤」視圖中建立的自訂規則,可以在「自訂規則」視圖中進行檢視和刪除。如果要在「自訂規則」視圖中檢視規則的詳細資料,請選取規則,然後按一下自訂規則資訊