主页
延伸產品功能
學習如何延伸產品。
HCL® AppScan® Source for Development（Eclipse 外掛程式）
利用 AppScan® Source for Development，您可以在現有的開發環境中作業，且可以對 Java 和 IBM®MobileFirst Platform 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞，然後利用 AppScan Source Security 知識庫的補救協助，將它們徹底消除。
建立及管理過濾器
AppScan® 來源提供多種建立及使用過濾器的方法。「過濾器編輯器」視圖是建立過濾器的主視圖，它提供一組很健全的規則，您可以手動設定它們，然後將它們儲存在過濾器中。另外，「過濾器編輯器」視圖也提供了已建立過濾器的管理機制，您很容易修改或移除這些過濾器。另外，您也可以利用提供發現項目之圖形表示法的視圖，來過濾發現項目表格，然後在「過濾器編輯器」視圖中儲存這些過濾器。當您建立過濾器時，會更新其他視圖來反映過濾器內容。
從「評量摘要」視圖進行過濾
當掃描完成時，您可以在「評量摘要」視圖中查看它的發現項目（依預設，這個視圖會在「分類」視景中開啟）。在這個視圖中，您可以從長條圖建立過濾器。

延伸產品功能
學習如何延伸產品。
- 自訂漏洞資料庫和型樣規則
  本節說明如何自訂資料庫，以及將自訂的漏洞及其他常式整合到掃描中。
- 延伸應用程式伺服器匯入架構
  AppScan® 來源可讓您從 Apache Tomcat 及 WebSphere® 應用程式伺服器 Liberty 設定檔匯入 Java™ 應用程式。您可以如本主題所述，延伸應用程式伺服器匯入架構，以便從其他應用程式伺服器匯入 Java 應用程式。
- HCL® AppScan® Source for Development（Eclipse 外掛程式）
  利用 AppScan® Source for Development，您可以在現有的開發環境中作業，且可以對 Java 和 IBM®MobileFirst Platform 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞，然後利用 AppScan Source Security 知識庫的補救協助，將它們徹底消除。
  - HCL® MobileFirst Platform Application Scanning
    AppScan® Source for Development 也作為 MobileFirst Platform Application Scanning 提供。利用 MobileFirst Platform Application Scanning，您可以在現有的開發環境中作業，且可以對 IBM®MobileFirst Platform 專案執行安全漏洞分析。安全分析可讓您精確找出原始碼的漏洞，然後利用 AppScan Source Security 知識庫的補救協助，將它們徹底消除。
  - 名詞解釋
  - AppScan® Source for Development 伺服器模式和本端模式
    在具有或沒有 AppScan®Enterprise Server 的情況下都可使用 AppScan Source for Development 外掛程式。在伺服器模式中，您連接至伺服器來執行掃描和存取共用的資料，就像在舊版產品中一樣。在新的本端模式中，AppScan Source for Development 在完全不連接 AppScanEnterprise Server 的情況下執行 - 您將無法存取共用項目，例如過濾器、掃描配置及自訂規則。
  - 建立變數
    如果要開啟先前在 AppScan® Source for Analysis 中基於路徑變數所建立的評量或組合，您應該在開發環境中建立相符的變數。建立變數可確保資料可供多部電腦使用。如果要共用評量資料，您必須定義適當的變數。
  - 配置掃描
    視您要掃描的專案類型以及您要處理的掃描類型而定，您可能必須在執行掃描之前先配置它。例如，您可以將專案配置為使用依預設所設定的 JDK 或 JSP 編譯器以外的編譯器。
  - 一般喜好設定
    一般喜好設定可讓您調整某些 AppScan® Source for Development 預設值，以符合您的個人喜好設定。
  - 一般喜好設定
    一般喜好設定可讓您調整某些 AppScan® Source for Development 預設值，以符合您的個人喜好設定。
  - 掃描
    您可以掃描 Eclipse 或是 Rational® Application Developer for WebSphere® Software (RAD) 工作區、專案或檔案。這包括掃描 Java™（包括 Android）、JavaServer Pages (JSP) 及 IBM®MobileFirst Platform 專案。
  - 開啟及儲存評量
    AppScan® 來源會掃描原始碼的漏洞，並列出發現項目。發現項目是掃描期間所識別的漏洞，掃描結果是評量。您可以從 AppScan Source for Development 或 AppScan Source for Analysis 開啟儲存的評量。掃描之後，您可以將評量儲存在檔案中。之後，您隨時可以重新開啟評量。評量儲存為 filename.ozasmt。
  - 自訂發現項目表格
    除了 AppScan® Source for Analysis 中的「評量差異」視圖之外，在所有含有發現項目的視圖中，您可以只將您想要看到的直欄及直欄次序識別出來，以自訂發現項目表格。每個視圖可以各有不同設定，您也可以將選項套用於所有視圖。如果要自訂直欄次序，請遵循這個作業主題中的步驟。
  - 將所選的發現項目儲存在評量中
  - 搜尋發現項目
    在包含發現項目的多重視圖中，您可以搜尋特定的發現項目。搜尋準則包含組合、程式碼、檔案、專案或漏洞類型。搜尋結果會出現在「搜尋結果」視圖中。
  - 修改發現項目
    已修改的發現項目是漏洞類型、分類、嚴重性有了改變，或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式（因開啟其評量而在作用中的應用程式）的這些發現項目。在「我的評量」視圖（只限 AppScan® Source for Analysis）中，已修改直欄會指出發現項目是否在現行評量中有了改變。
  - 解決安全問題和檢視補救協助
    AppScan® 來源會發出安全錯誤或一般設計缺失的警示，且能夠在解決過程中提供協助。AppScan Source Security 知識庫（以及內部或外部的程式碼編輯器）可以在這個過程中提供協助。
  - 分類及排除項目
    掃描之後，您可能決定某些發現項目與目前的工作無關，在分類掃描結果時，不要它們出現在發現項目表格中。這些排除項目（或已排除的發現項目）不會再出現在「發現項目」視圖中，變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目，只會影響到後續的掃描。
  - 建立及管理過濾器
    AppScan® 來源提供多種建立及使用過濾器的方法。「過濾器編輯器」視圖是建立過濾器的主視圖，它提供一組很健全的規則，您可以手動設定它們，然後將它們儲存在過濾器中。另外，「過濾器編輯器」視圖也提供了已建立過濾器的管理機制，您很容易修改或移除這些過濾器。另外，您也可以利用提供發現項目之圖形表示法的視圖，來過濾發現項目表格，然後在「過濾器編輯器」視圖中儲存這些過濾器。當您建立過濾器時，會更新其他視圖來反映過濾器內容。
    - 使用 AppScan® 來源預先定義的過濾器
      AppScan® 來源包含一組可供選取來過濾掃描結果的預先定義過濾器。這個說明主題說明這些立即可用的過濾器。
    - 在「過濾器編輯器」視圖中建立及管理過濾器
      在這個視圖中，您可以建立、編輯、儲存、刪除及管理過濾器。如果您使用 AppScan® Source for Analysis，您可以共用過濾器及存取與其他人共用的過濾器。在 AppScan Source for Development 中，如果您使用伺服器模式且已登入 AppScanEnterprise Server，則可以存取共用的過濾器。
    - 從「評量摘要」視圖進行過濾
      當掃描完成時，您可以在「評量摘要」視圖中查看它的發現項目（依預設，這個視圖會在「分類」視景中開啟）。在這個視圖中，您可以從長條圖建立過濾器。
    - 從漏洞矩陣過濾
      「漏洞矩陣」視圖會顯示掃描所包含之所有應用程式的發現項目總數。在矩陣之中，這些發現項目是依嚴重性層次來分組。您可以選取這些發現項目群組來建立過濾器。
    - 在「來源和接收槽」視圖中建立過濾器
    - 判斷已套用的過濾器
      為了讓您能夠很快判斷在評量中過濾器如何套用至發現項目，AppScan® 來源提供過濾器指示器。
  - 支援的註釋和屬性
    掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間，當程式碼中發現支援的註釋或屬性時，會利用這項資訊，將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法，會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。
  - 使用組合
    組合（發現項目的分組機制）可讓您從 AppScan® Source for Analysis 中，將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後，您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合，或開啟已儲存的組合檔 (file_name.ozbdl)。
  - AppScan® 來源追蹤
    當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
  - 視圖和視窗
    AppScan® Source for Development 的視圖和視窗提供發現項目的替代呈現方式，它們支援編輯程式碼，可讓您在工作台中導覽資訊。視圖可以單獨出現，也可以在標籤記事本中，與其他視圖堆疊起來。您可以開啟和關閉視圖，以及將它們定置在「工作台」視窗的不同位置，以變更視景或視窗的佈置。
  - 安裝和使用者資料檔位置
    當您安裝 AppScan® 來源時，使用者資料和配置檔會儲存在安裝目錄之外。
  - CWE 支援
    「一般弱點列舉 (Common Weakness Enumeration, CWE)」是一份業界標準清單，可提供常見的軟體弱點的一般名稱。本主題列出 AppScan® 來源的現行版本中支援的 CWE ID。
  - 智慧型發現項目分析 (IFA)
    瞭解從 AppScan® 來源自動分類和分析發現項目。

從「評量摘要」視圖進行過濾

當掃描完成時，您可以在「評量摘要」視圖中查看它的發現項目（依預設，這個視圖會在「分類」視景中開啟）。在這個視圖中，您可以從長條圖建立過濾器。

執行這項作業的原因和時機

掃描完成之後，「評量摘要」視圖含有發現項目的圖形長條圖表示法。您可以精簡這個視圖，依照漏洞類型、API、專案或檔案來顯示發現項目。當您在「評量摘要」視圖中選取分組的發現項目時，發現項目表格會改為只顯示「評量摘要」視圖中選取的發現項目。

註：在「漏洞矩陣」視圖之外套用的過濾器，不會影響「漏洞矩陣」視圖。您必須選取「漏洞矩陣」視圖的顯示過濾的發現項目計數工具列按鈕，過濾器才會反映在「漏洞矩陣」視圖中。

註：在 AppScan® Source for Development（Visual Studio 外掛程式）中，這個視圖是「編輯過濾器」視窗的一部分。

程序

在「評量摘要」視圖中，變更圖形表示法來配合您的需求。例如，假設有一項評量包含 Validation.Required、Validation.EncodingRequired 和 Cryptography.PoorEntropy 漏洞類型，請將圖表內容設為漏洞類型。這時會在長條圖表示法中，依漏洞類型來顯示發現項目：
如果要建立 Validation.Required 漏洞類型的過濾器，請按一下圖表中的 Validation.Required 長條圖。

提示：請將滑鼠停在長條圖上，以查看漏洞的數目。
過濾的結果會出現在發現項目表格中：
過濾動作也會將「評量摘要」視圖中選取的過濾器規則設定，移入「過濾器編輯器」視圖。這個過濾器可以儲存在「過濾器編輯器」視圖中（如果要瞭解過濾器規則設定及儲存過濾器的相關資訊，請參閱在「過濾器編輯器」視圖中建立及管理過濾器）。
如果要依 API 來檢視相同的過濾結果，請將圖表內容設為 API：