主页
開發
學習如何利用產品來進行開發。
AppScan® 來源追蹤
當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
驗證和編碼範圍
在「追蹤」視圖中，您可以指定自訂驗證常式和編碼常式，將它們儲存在 AppScan® Source Security 知識庫之後，將資料標示為已檢查而非已污染。當使用「自訂規則精靈」時，您會根據這些常式的範圍來定義它們。

開發
學習如何利用產品來進行開發。
- 掃描原始碼及管理評量
  本節說明如何掃描原始碼及管理評量。
- 分類及分析
  將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源評量以及分析結果。
- AppScan® 來源追蹤
  當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
  - AppScan® Source 追蹤掃描結果
    掃描結果可能包括 AppScan® Source 追蹤所識別的追蹤資料。追蹤直欄中的圖示表示有呼叫圖追蹤存在。
  - 輸入/輸出追蹤
    當 AppScan® Source for Analysis 能夠追蹤從已知來源到接收槽或遺失接收槽的資料時，就會產生輸入/輸出追蹤。
  - 使用「追蹤」視圖
  - 驗證和編碼範圍
    在「追蹤」視圖中，您可以指定自訂驗證常式和編碼常式，將它們儲存在 AppScan® Source Security 知識庫之後，將資料標示為已檢查而非已污染。當使用「自訂規則精靈」時，您會根據這些常式的範圍來定義它們。
  - 從 AppScan® Source 追蹤建立自訂規則
    您可以從「追蹤」視圖來建立自訂規則，讓您濾除包含污染傳播者、不容易遭受污染或接收槽等追蹤的發現項目。您也可以將追蹤中的方法標記為驗證/編碼常式（或指出它們不是驗證/編碼常式）。
  - 用來追蹤的程式碼範例
    本節提供程式碼範例，其中說明從來源到接收槽的污染資料追蹤，以及如何建立驗證和編碼常式。
- AppScan® Source for Analysis 和問題追蹤
  AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合，可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明，還有一個檔案，其中只含有隨著問題報告而提交的發現項目。
- 發現項目報告和審核報告
  安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
- 建立自訂報告
  在「報告編輯器」中，您可以建立用來產生自訂報告的報告範本。

驗證和編碼範圍

在「追蹤」視圖中，您可以指定自訂驗證常式和編碼常式，將它們儲存在 AppScan® Source Security 知識庫之後，將資料標示為已檢查而非已污染。當使用「自訂規則精靈」時，您會根據這些常式的範圍來定義它們。

請參閱範例 4：深度驗證，以取得建立驗證和編碼常式的程序。

驗證或編碼常式以它們的範圍為基礎，定義如下：

API 特定
呼叫位置特定

API 特定

API 特定驗證常式和編碼常式可以與單一專案或多個專案相關聯。

API 特定常式會淨化來自特定來源 API 之所有實例的任何資料。例如，您可以指定來自下列 API 之任何輸入的驗證常式：

javax.servlet.ServletRequest.getParameter
(java.lang.string):java.lang.string

API 特定常式儲存在伺服器上。專案的 API 特定常式儲存在專案中。

呼叫位置特定

呼叫位置特定常式一律與單一專案相關聯。

呼叫位置特定常式會淨化來自程式碼特定位置的資料。當建立呼叫位置特定驗證常式或編碼常式時，您會指定這個常式套用到特定的輸入呼叫位置。呼叫位置特定常式一律儲存在專案中。

註：「呼叫位置特定」會套用到驗證常式在相同方法內的任何呼叫。