1.AppScan Source能生成哪些安全合规报告?
AppScan Source能生成哪些安全合规报告?
尽管AppScan Source多年来一直是码分静态分析安全测试(SAST)的市场领导者,但仍无法立即获得理想的码分结果。 实际上,码分没有SAST工具具有该功能。码分游戏盒子源码mfc
原因很简单:每个组织都是码分唯一的。
每个组织都编写自己的码分代码,并拥有自己的码分技术堆栈,该技术堆栈通常由数十个,码分数百个,码分甚至数千个可能公开或不公开提供,码分并且可能有或没有源代码的码分opencnc 开源源码获取库和框架组成。
每个组织都有自己的码分应用程序安全策略和安全编码最佳实践,它们会影响他们调查的码分安全性问题的类型,并且根据风险评估,码分编程语言和其他因素,码分每个应用程序通常会有所不同。html人才网源码
这样一来,SAST工具就无法立即了解应用程序中使用的每个API的功能,或者无法从外部来源进入应用程序并对其进行适当清理的数据是否属于低优先级问题或五级警报。
例如,如果文件系统只能由管理员访问,锁机源码查看密码那么使用未经处理就从文件系统上的文件读取的数据可能不会引起关注。
但是,如果其他用户可以在该特定应用程序之内或之外将文件上传到该服务器,则情况将发生巨大变化。
现在,视频源码 带邀请码人们可以说AppScan Source仍然应该能够开箱即用地提供有意义的结果集,即使它无法识别出对用户重要的每个API或每个小细节。
这正是AppScan Source通常要做的。 AppScan Source具有成千上万条规则,告诉它各种API的功能。 它还支持最新的框架,例如ASP.NET
MVC,Spring,Struts和JSF等。 AppScan Source还提供了一组过滤器,允许用户单击或单击两次即可将通常被认为是高优先级的问题归零。
使用开箱即用的过滤器进行扫描的结果通常是非常好的,并且许多用户不需要再检查那一点之后的结果。 但是,也有许多人希望将他们的发现推向新的高度。
他们希望真正了解涵盖了多少应用程序,以提高覆盖率,并将扫描结果微调到其应用程序安全策略或安全编码最佳实践。 AppScan
Source通过使用内置工具(例如“源和接收器”视图,“自定义规则”向导和“过滤器编辑器”)使此分析相对容易进行。