主页
開發
學習如何利用產品來進行開發。
分類及分析
將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源評量以及分析結果。
使用靜態分析修正程式群組
修正程式群組是一種新方法，用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後，AppScan® 來源就會根據漏洞類型和必要的補救作業，將問題組織到修正程式群組。

開發
學習如何利用產品來進行開發。
- 掃描原始碼及管理評量
  本節說明如何掃描原始碼及管理評量。
- 分類及分析
  將類似的發現項目分組，可讓安全分析師或 IT 審核員進行原始碼問題的分段及分類。本節說明如何分類 AppScan® 來源評量以及分析結果。
  - 顯示發現項目
    在「發現項目」視圖或任何含有發現項目的視圖中，每次掃描都會顯示一個「發現項目樹狀結構」（評量準則的階層式分組）和「發現項目表格」。您在發現項目樹狀結構中選取的項目，會決定呈現在表格中的發現項目。
  - AppScan® 來源分類程序
    分類程序包括透過組合、過濾器及排除項目來操作發現項目，以及比較評量結果。
  - 分類範例
    這個範例說明安全分析師所用的 AppScan® 來源分類工作流程。分類工作流程可能會隨著商業需求而不同。
  - 利用過濾器分類
    AppScan® Source for Analysis 會報告所有潛在的安全漏洞，對於中型到大型程式碼庫，可能會產生數千個發現項目。掃描時，您可能會看到發現項目清單包含無關緊要的項目。如果要從「發現項目」視圖中移除特定發現項目，您可以選擇預先定義的過濾器，也可以建立自己的過濾器。過濾器用來指定一些準則，以決定要從視圖中移除哪些發現項目。
  - 分類及排除項目
    掃描之後，您可能決定某些發現項目與目前的工作無關，在分類掃描結果時，不要它們出現在發現項目表格中。這些排除項目（或已排除的發現項目）不會再出現在「發現項目」視圖中，變更結果會立即更新評量的度量。新增到配置中的過濾器和組合排除項目，只會影響到後續的掃描。
  - 使用組合
    組合（發現項目的分組機制）可讓您從 AppScan® Source for Analysis 中，將發現項目的 Snapshot 匯入 AppScan Source for Development 中。將發現項目放入組合之後，您可以利用 AppScan Source for Development 來開啟含有組合的專案、匯入組合，或開啟已儲存的組合檔 (file_name.ozbdl)。
  - 使用靜態分析修正程式群組
    修正程式群組是一種新方法，用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後，AppScan® 來源就會根據漏洞類型和必要的補救作業，將問題組織到修正程式群組。
  - 修改發現項目
    已修改的發現項目是漏洞類型、分類、嚴重性有了改變，或擁有註釋的發現項目。「已修改的發現項目」視圖會顯示現行應用程式（因開啟其評量而在作用中的應用程式）的這些發現項目。在「我的評量」視圖（只限 AppScan® Source for Analysis）中，已修改直欄會指出發現項目是否在現行評量中有了改變。
  - 比較發現項目
    使用「差異評量」動作或 AppScanDelta 公用程式來比較評量。比較兩項評量時，會將兩者之間的差異顯示在「評量差異」視圖或 .ozasmt 檔案中。結果會彙總新的、已修正/遺漏和共用發現項目。
  - 自訂發現項目
    如果要加強您的分析結果，您可以建立自訂發現項目。這些是使用者建立的發現項目，AppScan® Source for Analysis 會將它們新增到目前開啟的評量中，或新增到所選的應用程式中。自訂發現項目會影響評量的度量，可以併到報告中。建立好之後，自訂發現項目會自動併入應用程式未來的掃描中。
  - 解決安全問題和檢視補救協助
    AppScan® 來源會發出安全錯誤或一般設計缺失的警示，且能夠在解決過程中提供協助。AppScan Source Security 知識庫（以及內部或外部的程式碼編輯器）可以在這個過程中提供協助。
  - 支援的註釋和屬性
    掃描期間會處理一些用來裝飾程式碼的註釋或屬性。於掃描期間，當程式碼中發現支援的註釋或屬性時，會利用這項資訊，將裝飾的方法標示為污染的回呼。針對標示為污染回呼的方法，會將其所有引數都視為包含受污染的資料。這會產生更多含有追蹤資料的發現項目。這個說明主題中會列出所支援的註釋和屬性。
- AppScan® 來源追蹤
  當使用 AppScan® 來源追蹤時，您可以驗證輸入驗證和編碼是否符合您的軟體安全原則。您可以查看產生輸入/輸出追蹤資料的發現項目，將方法標示為驗證常式和編碼常式、來源或接收槽、回呼，或污染傳播者。
- AppScan® Source for Analysis 和問題追蹤
  AppScan® Source for Analysis 和問題追蹤系統IBM® Rational Team Concert™整合，可以將確認的軟體漏洞直接遞送到開發人員的桌面。提交到問題追蹤系統的問題報告包含錯誤的文字說明，還有一個檔案，其中只含有隨著問題報告而提交的發現項目。
- 發現項目報告和審核報告
  安全分析師和風險管理員可以存取所選取發現項目的報告，或一系列審核報告，這些審核報告用來測量是否符合軟體安全最佳實務和規章需求。本節說明如何建立發現項目集成資料的報告。
- 建立自訂報告
  在「報告編輯器」中，您可以建立用來產生自訂報告的報告範本。

使用靜態分析修正程式群組

修正程式群組是一種新方法，用來管理、分類及解決在靜態分析掃描中發現的問題。執行靜態掃描之後，AppScan® 來源就會根據漏洞類型和必要的補救作業，將問題組織到修正程式群組。

在修正程式群組中檢視發現項目

靜態分析發現項目現在依修正程式群組在「發現項目」標籤中顯示。此預設顯示適用於新的掃描和您開啟現有評量時。

您可以像使用依漏洞類型、分類等排序的發現項目一樣使用修正程式群組發現項目。

修正程式群組類型

有兩種類型的修正程式群組：

常見修正點修正程式群組
常見修正點修正程式群組包含共用相同漏洞的問題。整個群組可以透過單一修正（一個程式碼點）進行補救。
常見 API 修正程式群組
常見 API 點修正程式群組包含與相同 API 呼叫相關的問題。相同的修正程式可以套用至群組中的所有問題（儘管可能需要多次套用）。

任何群組中的問題一律會共用相同的「漏洞類型」。

若要進一步瞭解靜態分析，請參閱智慧型發現項目分析 (IFA)。

使用修正程式群組進行報告

新的發現項目報告「依修正程式群組的發現項目」可在「產生發現項目報告」對話框中取得。