配置專案內容以進行安全掃描

如果要配置 Java 專案以進行安全掃描,請遵循這個主題的指示。

程序

  1. 從主功能表中,選擇安全分析 > 配置掃描 > 配置專案安全
  2. 如果您的工作區包含多個專案,「選擇專案」對話框將會開啟。在此對話框中,選取要配置的專案,然後按一下確定
  3. 按一下配置 JDK 來設定 Java 和 JSP 編譯器喜好設定,然後在清單中選取它來識別要用於掃描的 JDK。依預設會使用 AdoptOpenJDK 11AppScan® 來源 也提供 JDK 1.8(64 位元)供您選擇,或者您也可以新增不同的 JDK。如果指定了替代 JDK,其必須為 64 位元。
    註: 既有的 JSP 專案預設編譯器是 Tomcat 7,這需要 Java 1.6 版或更新版本。如果保留 Tomcat 7 作為預設值,則使用較舊的 JDK 會導致在掃描期間發生編譯錯誤。
  4. JSP 設定:搭配這些選項來配置所指定專案所需要的 JSP 設定:
    1. JSP 設定
    選項 說明
    包含 Web 內容 如果專案是包含 JavaServer Pages 的 Web 應用程式,請選取這個勾選框。
    Web 環境定義根目錄 手動選取 Web 環境定義根目錄,或按一下尋找來尋找它。Web 環境定義根目錄是一個 WAR 檔,或一個含有 WEB-INF 目錄的目錄。Web 環境定義根目錄必須是有效 Web 應用程式的根目錄。
    使用 JSP 編譯器 選取專案的 JSP 編譯器。依預設,Tomcat 7 是預設 JSP 編譯器設定(您可以在 Java 和 JSP 喜好設定頁面中變更預設 JSP 編譯器)。如果要瞭解 AppScan® 來源 支援的編譯器,請參閱 系統需求和安裝必備項目

    AppScan® 來源 的安裝架構包含 Apache Tomcat 第 7 版和第 8 版。如果未配置 Tomcat 7Tomcat 8 喜好設定頁面,AppScan® 來源 會利用提供的 Tomcat JSP 編譯器(目前標示為預設編譯器)來編譯 JSP 檔。如果您想要使用外部支援的 Tomcat 編譯器,請利用 Tomcat喜好設定頁面來指向您的本端 Tomcat 安裝架構。

    如果您使用 Oracle WebLogic 伺服器WebSphere® 應用程式伺服器,您必須配置適用的喜好設定頁面來指向應用程式伺服器的本端安裝架構,以便在分析期間用來編譯 JSP。如果您尚未完成此配置,當您選取 JSP 編譯器時,會出現訊息來提示您這麼做。如果您在訊息中按一下,就會看到適當的喜好設定頁面。如果您按一下,JSP 編譯器選項旁邊會顯示警告鏈結(遵循此鏈結會開啟喜好設定頁面)。

  5. 檔案編碼:您必須設定專案中各檔案的字元編碼,AppScan® 來源 才能適當讀取檔案並且(舉例來說)在程式碼視圖中正確顯示它們。您可以在 AppScan® 來源 喜好設定頁面中,設定預設檔案編碼。
  6. 前置掃描編譯最佳化
    • 經過前置編譯的類別:使用經過前置編譯的 Java 或 JSP 類別檔,而不在掃描期間編譯。選取之後,這個選項會停用來源暫置選項。
    • 暫置原始檔,將編譯錯誤的影響減到最少:控制 AppScan® 來源 是否將原始碼複製到暫置目錄。

      修正不符合目錄結構的套件需要 Java 編譯器來開啟每個原始檔。

      清除各次掃描之間的暫置區可確保在掃描之前,已先編譯您最新版的程式碼。這可以提升結果的正確性,不過,選取這個選項可能會降低效能。