主页
開發
學習如何利用產品來進行開發。
AppScan® 來源追蹤
當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
用來追蹤的程式碼範例
本節提供程式碼範例，其中說明從來源到接收槽的污染資料追蹤，以及如何建立驗證和編碼常式。
範例 1：從來源到接收槽

開發
學習如何利用產品來進行開發。
- 掃描原始碼及管理評量
  本節說明如何掃描原始碼及管理評量。
- 分類及分析
  將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源評量以及分析結果。
- AppScan® 來源追蹤
  當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
  - AppScan® Source 追蹤掃描結果
    掃描結果可能包括 AppScan® Source 追蹤所識別的追蹤資料。追蹤直欄中的圖示表示有呼叫圖追蹤存在。
  - 輸入/輸出追蹤
    當 AppScan® Source for Analysis 能夠追蹤從已知來源到接收槽或遺失接收槽的資料時，就會產生輸入/輸出追蹤。
  - 使用「追蹤」視圖
  - 驗證和編碼範圍
    在「追蹤」視圖中，您可以指定自訂驗證常式和編碼常式，將它們儲存在 AppScan® Source Security 知識庫之後，將資料標示為已檢查而非已污染。當使用「自訂規則精靈」時，您會根據這些常式的範圍來定義它們。
  - 從 AppScan® Source 追蹤建立自訂規則
    您可以從「追蹤」視圖來建立自訂規則，讓您濾除包含污染傳播者、不容易遭受污染或接收槽等追蹤的發現項目。您也可以將追蹤中的方法標記為驗證/編碼常式（或指出它們不是驗證/編碼常式）。
  - 用來追蹤的程式碼範例
    本節提供程式碼範例，其中說明從來源到接收槽的污染資料追蹤，以及如何建立驗證和編碼常式。
    - 範例 1：從來源到接收槽
    - 範例 2：從來源到接收槽（已修改）
      範例 2 是範例 1 程式碼的修改。範例 2 是範例 1 的強化版本，差異是新增名為 getVulnerableSource 的驗證常式，以及名為 writeToVulnerableSink 的編碼常式。
    - 範例 3：不同的來源和接收槽檔案
    - 範例 4：深度驗證
      當掃描範例 4 程式碼時，第一個掃描會包括三項 AppScan® Source 追蹤，其根目錄位在對應的追蹤常式。假設選取 trace1 中的 FileInputStream.read 方法，並新增 validate 常式。跟在範例原始碼後的一節說明驗證常式每個範圍的效果。
- AppScan® Source for Analysis 和問題追蹤
  AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合，可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明，還有一個檔案，其中只含有隨著問題報告而提交的發現項目。
- 發現項目報告和審核報告
  安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
- 建立自訂報告
  在「報告編輯器」中，您可以建立用來產生自訂報告的報告範本。

範例 1：從來源到接收槽

在下列程式碼範例中，main 方法呼叫會傳回字串的 getVulnerableSource 方法。請注意，雖然這個方法會從完全不明的檔案讀取資料，但從不檢查傳回之資料的有效性。之後，main 方法又將這個受污染資料傳給 writeToVulnerableSink。writeToVulnerableSink 方法將資料寫到檔案中，從不檢查其有效性。

import java.io.*;

public class TestCase_IOT_Static {
  public static void main(String[] args) {
    try {
      writeToVulnerableSink(getVulnerableSource(args[0]));
    } catch (Exception e) {
    }
  }

  public static String getVulnerableSource(String file)
    throws java.io.IOException, java.io.FileNotFoundException {
    FileInputStream fis = new FileInputStream(file);
    byte[] buf = new byte[100];
    fis.read(buf);
    String ret = new String(buf);
    fis.close();
    return ret;
  }

  public static void writeToVulnerableSink(String str)
    throws java.io.FileNotFoundException {
    FileOutputStream fos = new FileOutputStream(str);
    PrintWriter writer = new PrintWriter(fos);
    writer.write(str);
  }
}

程式碼範例會產生下列追蹤：

「追蹤」視圖

窗格顯示輸入堆疊，其中 main 呼叫 getVulnerableSource，後者又呼叫 FileInputStream.read，也顯示輸出堆疊，其中 main 呼叫 writeToVulnerableSink，後者又呼叫 PrintWriter.write。圖形顯示資料如何從 read 方法流到 write 方法，由 main 結合這兩個呼叫堆疊。「資料流」區段顯示 main 方法中，傳遞污染之作業中的行號。在這個範例中，這兩個方法呼叫位於方法內的同一行（第 15 行）（在上述的範例程式碼，這會轉換為第 7 行，在畫面擷取中，檔案含有 8 行註解）。