主页
開發
學習如何利用產品來進行開發。
掃描原始碼及管理評量
本節說明如何掃描原始碼及管理評量。
開啟及儲存評量
AppScan® 來源會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。

開發
學習如何利用產品來進行開發。
- 掃描原始碼及管理評量
  本節說明如何掃描原始碼及管理評量。
  - 掃描
    您可以掃描 Eclipse 或是 Rational® Application Developer for WebSphere® Software (RAD) 工作區、專案或檔案。這包括掃描 Java™（包括 Android）、JavaServer Pages (JSP) 及 IBM®MobileFirst Platform 專案。
  - 管理我的評量
    「我的評量」視圖包含一份評量清單（目前開啟的評量，以及您已儲存的任何評量）。在這個視圖中，您可以開啟、刪除、儲存、重新命名或比較評量。掃描完成之後，或當您開啟儲存的評量時，評量會出現在「我的評量」視圖中。「我的評量」會顯示一份表格，列出已開啟或儲存的評量，且會識別已發佈或修改的評量。從這個視圖中移除某項評量（且未儲存或發佈它），就會永久刪除這個評量。
  - 提交 AppScan® 來源評量至 Cloud 進行分析
    如果您在 HCL Cloud Marketplace 訂閱 HCL AppScan on Cloud，您可以在該處提交 AppScan® 來源評量以進行分析。支援來自 AppScan 來源 9.0 版或更新版本的評量，您可以提交的掃描數目將視您的 AppScan on Cloud 訂閱而定。
  - 發佈評量
    AppScan® 來源提供兩個發佈選項。您可以將評量發佈到 AppScan 來源資料庫，以便儲存及共用評量。或者，如果 AppScanEnterprise Server 已安裝 Enterprise Console 選項，您可以將評量發佈到那裡。AppScan Enterprise Console 提供各種可處理評量的工具，例如：報告特性、問題管理、趨勢分析和儀表板。
  - 開啟及儲存評量
    AppScan® 來源會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。
    - 自動儲存評量
      依預設，掃描會自動儲存到 <data_dir>\scans（其中 <data_dir> 是 AppScan® 來源程式資料的位置，如topics/install_file_locations.html），為期三天。這個行為取決於 <data_dir>\config\scanner.ozsettings 中的 assessment_auto_save、assessment_auto_save_location 和 assessment_auto_save_stale_period 設定。
  - 從「我的評量」移除評量
    當從「我的評量」視圖中移除評量時，並不會將它們從您的本端檔案系統中移除。如果從視圖中移除評量，您可以利用開啟評量動作來加回此評量。
  - 定義變數
    當儲存評量或組合時，或是發佈評量時，AppScan® Source for Analysis 可能會建議您建立變數，來取代絕對路徑（如果沒有變數，AppScan Source for Analysis 會將絕對路徑寫入評量檔中，以參照原始檔之類的項目）。配置絕對路徑的變數，有助於多部電腦共用評量。建議您在共用評量時使用變數。
- 分類及分析
  將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源評量以及分析結果。
- AppScan® 來源追蹤
  當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
- AppScan® Source for Analysis 和問題追蹤
  AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合，可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明，還有一個檔案，其中只含有隨著問題報告而提交的發現項目。
- 發現項目報告和審核報告
  安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
- 建立自訂報告
  在「報告編輯器」中，您可以建立用來產生自訂報告的報告範本。

開啟及儲存評量

AppScan® 來源會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan® Source for Development 或 AppScan® Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。

開始之前

註：您必須具備儲存評量許可權，才能儲存評量。如果要瞭解設定許可權的相關資訊，請參閱《HCL® AppScan® 來源安裝和管理手冊》。

程序

如果要開啟評量，請從主功能表中，選擇安全分析 > HCL AppScan Source > 開啟 > 開啟評量，然後選取要開啟的評量檔 (filename.ozasmt)，並按一下確定。
如果要儲存現行評量，請從主功能表中，選取這些功能表選項之一。
- 安全分析 > HCL AppScan Source > 儲存 > 儲存評量
- 安全分析 > HCL AppScan Source > 儲存 > 另存評量
然後建立副檔名為 .ozasmt 的檔名，並按一下確定。這時會出現一則確認訊息。
當儲存評量時，AppScan® Source for Development 會將絕對路徑寫入評量檔中，以參照原始檔之類的項目。這些絕對路徑有可能導致難以共用另一部電腦上目錄結構不同的檔案。為了能夠建立可攜式評量檔，您應該建立變數（請參閱建立變數）。