主页
開發
學習如何利用產品來進行開發。
AppScan® 來源追蹤
當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
AppScan® Source 追蹤掃描結果
掃描結果可能包括 AppScan® Source 追蹤所識別的追蹤資料。追蹤直欄中的圖示表示有呼叫圖追蹤存在。
驗證和編碼

開發
學習如何利用產品來進行開發。
- 掃描原始碼及管理評量
  本節說明如何掃描原始碼及管理評量。
- 分類及分析
  將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源評量以及分析結果。
- AppScan® 來源追蹤
  當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
  - AppScan® Source 追蹤掃描結果
    掃描結果可能包括 AppScan® Source 追蹤所識別的追蹤資料。追蹤直欄中的圖示表示有呼叫圖追蹤存在。
    - 驗證和編碼
    - 搜尋 AppScan® Source 追蹤
      如果您想要分組追蹤發現項目，您可以搜尋來源或接收槽。如此一來，追蹤發現項目會出現在「搜尋結果」視圖中。
  - 輸入/輸出追蹤
    當 AppScan® Source for Analysis 能夠追蹤從已知來源到接收槽或遺失接收槽的資料時，就會產生輸入/輸出追蹤。
  - 使用「追蹤」視圖
  - 驗證和編碼範圍
    在「追蹤」視圖中，您可以指定自訂驗證常式和編碼常式，將它們儲存在 AppScan® Source Security 知識庫之後，將資料標示為已檢查而非已污染。當使用「自訂規則精靈」時，您會根據這些常式的範圍來定義它們。
  - 從 AppScan® Source 追蹤建立自訂規則
    您可以從「追蹤」視圖來建立自訂規則，讓您濾除包含污染傳播者、不容易遭受污染或接收槽等追蹤的發現項目。您也可以將追蹤中的方法標記為驗證/編碼常式（或指出它們不是驗證/編碼常式）。
  - 用來追蹤的程式碼範例
    本節提供程式碼範例，其中說明從來源到接收槽的污染資料追蹤，以及如何建立驗證和編碼常式。
- AppScan® Source for Analysis 和問題追蹤
  AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合，可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明，還有一個檔案，其中只含有隨著問題報告而提交的發現項目。
- 發現項目報告和審核報告
  安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
- 建立自訂報告
  在「報告編輯器」中，您可以建立用來產生自訂報告的報告範本。

驗證和編碼

驗證是檢查輸入資料以確保形式完整的處理程序。Validation.Required 發現項目指出，從來源到接收槽的給定資料路徑上沒有發生驗證。驗證可能如同將資料限制在長度上限一樣簡單，也可能如同檢查名稱和位址的形式是否完整一樣複雜。驗證也可以檢查「SQL 注入」之類的攻擊，它會偵測出能夠啟用這些攻擊的無效字元序列。

編碼是將資料轉換成形式完整狀態的處理程序。Validation.EncodingRequired 發現項目指出從來源到接收槽的給定資料路徑沒有發生編碼。編碼可能如同字元跳出一樣簡單，也可能如同資料加密一樣複雜。編碼也可以跳出會導致「跨網站 Scripting」之類攻擊的字元，以防止這些攻擊。

當第一次掃描時，AppScan® 來源可能會將某個發現項目識別為可疑安全發現項目。當建立適用於特定來源的驗證或編碼常式時，如果從來源接收資料之後，未呼叫指定的驗證或編碼常式，AppScan® Source for Analysis 會將發現項目報告為明確（而不是可疑）。

評量會追蹤整個專案中之已知來源的資料。如果能夠將資料從已知來源追蹤到已知的接收槽，指定的驗證和編碼常式就可以確保不會出現以無界限的輸入資料來進行的惡意攻擊。