本快速入门指导您使用 veracode 平台完成演示应用程序的 Veracode 静态分析。Veracode 平台是一个用于管理整个应用程序安全程序的 Web 控制台。扫描和运行 Veracode 演示应用程序的静态分析可帮助您了解执行静态分析的核心概念以及如何快速获得结果。
本快速入门指导您使用 veracode 平台完成演示应用程序的 Veracode 静态分析。Veracode 平台是一个用于管理整个应用程序安全程序的 Web 控制台。扫描和运行 Veracode 演示应用程序的静态分析可帮助您了解执行静态分析的核心概念以及如何快速获得结果。
要运行第一个静态分析,请完成以下任务:
- 获取具有所需权限的 Veracode 帐户。
- 下载演示应用程序,进行首次静态分析扫描。
- 登录 Veracode 平台。
- 使用 Veracode 平台创建应用程序配置文件,提交第一次扫描并查看结果。
获取 Veracode 帐户
- 要访问 Veracode 平台,您必须拥有 Veracode 人类用户帐户 。
- 若要配置扫描、提交扫描和审阅扫描结果,您的帐户必须具有创建者、子用户和审阅者角色 。
请与您组织的 Veracode 管理员联系,确认您拥有具有所需角色和团队成员资格的帐户。如果您是 Veracode 管理员,您的帐户可能具有所需的角色。如果没有,您可以在 Veracode 平台中向您的帐户添加角色 。
下载演示应用程序
要完成此快速入门,请下载预打包的演示应用程序 verademo.war 并将其保存到桌面。这个演示应用程序是在一个 WAR 文件中编译的 Java 代码,它满足 Veracode 编译和打包的要求 。它包括您可以在扫描结果中查看的缺陷。
登录 Veracode 平台
使用您所在地区的域名登录 Veracode 平台。每个区域都有一个唯一的 URL。此快速入门使用商业区域域:analysiscenter.veracode.com。您的帐户可能位于其他域中,例如欧洲地区:analysiscenter.veracode.eu
- 如果您有一个新的 Veracode 帐户,您会收到一封欢迎电子邮件,其中提供了在 Veracode 平台中激活您帐户的链接。如果您没有收到欢迎电子邮件,请联系您的 Veracode 管理员。
- 如果您有一个活跃的 Veracode 帐户,您可以使用您所在地区的域登录 Veracode 平台。如果您的组织使用单点登录(SSO)门户(如 Okta),您还可以使用 SSO 访问 Veracode 平台。
创建您的第一个应用程序配置文件
应用程序配置文件定义了应用程序对您组织的重要性、静态分析期间应用的安全策略、可以查看结果的人员以及可用于 Veracode 集成的元数据。注意
此快速入门需要创建新的应用程序配置文件。使用此配置文件运行扫描将使用 Veracode 许可证。此外,verademo.war 的扫描结果可能会影响将来扫描的结果。要恢复已使用的许可证并从您的帐户中完全删除 verademo.war 和扫描结果,请联系 Veracode 技术支持。注意
这些是此快速入门的示例值,可确保扫描成功。Veracode 不建议在生产应用程序配置文件中使用这些值。
要完成此任务,请执行以下操作:
- 在平台主页上,选择我的项目包> 应用程序 。
- 在“所有应用程序”页上,选择 “添加新应用程序 ”。
- 在“添加新应用程序”页上,为以下必填字段输入值。
- 应用程序名称:为此应用程序配置文件输入唯一的名称。例如,
Verademo-{your-initials}。 - 业务关键性 :选择非常低 。业务关键性指定了保护应用程序的重要性,以及如果攻击者破坏此应用程序,对您的组织造成的负面影响。
- 策略 :将业务关键性设置为 “非常低” 后,此设置默认为 “Veracode 推荐非常低 ”。安全策略确定 Veracode 在应用程序中发现的漏洞是否符合特定的安全标准。在扫描结果中,突出显示不符合所选策略的缺陷。在您的应用程序通过策略之前,您必须修复所有突出显示的缺陷。对于此快速入门,由于选择了低策略设置,因此
在 verademo.war的扫描结果中看不到突出显示的缺陷。 - 访问 :选择编辑 。在“可用团队”下,选择您的团队。您必须是所选团队的成员才能访问此新应用程序配置文件。如果您没有看到任何团队,请联系您的 Veracode 管理员。选择添加将团队添加到选定团队,然后选择保存 。
- 应用程序名称:为此应用程序配置文件输入唯一的名称。例如,
- 选择提交以创建应用程序配置文件。
提交您的第一个扫描请求
您现在可以使用 Veracode 平台扫描应用程序,并使用选定的安全策略运行静态分析。
要完成此任务,请执行以下操作:
- 在“所有应用程序”页上,选择新应用程序配置文件的名称。
- 在“应用程序”页上,选择 “启动扫描%3 E 启动静态扫描 ”。
- 输入唯一的扫描名称或接受默认值,即当前日期后跟
静态。 - 在“自动扫描”下,将“预扫描后自动扫描”设置为“ 关闭 ”。对于静态分析,预扫描会评估您上传的应用程序,以确保您在扫描之前正确编译和打包它。它还标识应用程序中的顶级模块或组件,包括这些模块调用的任何第三方依赖项或支持文件。顶级模块是您的组织创建的组件。如果此选项设置为 On 并且您的应用程序通过预扫描,Veracode 会自动选择顶级模块并开始扫描。将此选项设置为 Off 时 ,预扫描后扫描不会自动开始,您可以手动选择要在扫描中包括或排除的模块。如果您的帐户位于欧洲地区或美国联邦地区域 ,则在向导的“打包应用程序”步骤中,选择 “继续” 以跳过打包步骤,因为
verademo.war已经打包。 - 选择保存并继续 。
- 在“上载文件”页面上,选择 “选择文件 ”。
- 找到并选择
verademo.war。然后,选择打开以上传文件。 - 上传完成后,选择 Next。
- 对于此快速入门,请在“审阅模块”页面上等待预扫描完成。当预扫描处于活动运行状态时,“预扫描上传”下的旋转轮会指示。预扫描完成后,转盘停止,您将收到一封电子邮件,说明您现在可以开始策略扫描。
- 查看“预扫描状态”列,以了解应用程序的任何打包错误。因为
verademo.war满足 Veracode 编译和打包要求,所以您不会看到任何预扫描状态错误。 - 在“选择要扫描的模块”页面上,选择“ 高级模式” 选项卡。
- 在“模块” 选项卡上,选择“ 入口点? 复选框选择
verademo.war中的所有顶级模块 。应用程序中的顶级模块是 Veracode 用于确定要扫描哪些组件(包括第三方依赖项)的入口点。
- 选择开始扫描 。如果您的帐户属于欧洲地区或美国联邦域,请转至“审阅并提交”步骤,然后选择 “提交扫描 ”。
- 等待扫描完成,如“扫描进度”栏所示。您会收到三封电子邮件:提交扫描后、部分扫描结果可用时以及扫描完成时。您可以在等待完整扫描结果的同时查看部分结果。如果“扫描进度”栏显示卡住,请刷新浏览器以查看它是否更新。
查看示例扫描结果
静态分析完成后,在 Veracode 平台中或通过扫描结果电子邮件中的链接查看结果。
此任务假定您位于 verademo 的“应用程序”页上 。war:选择“ 我的投资组合> 应用程序>Verademo”。
要完成此任务,请执行以下操作:
- 在左窗格中,选择 Triage Flaws 以查看已发现缺陷的表。
- (可选)若要隐藏“源代码视图”窗口,请在右上角将“显示”设置为 “无 ”。在此选项旁边,您还可以选择 “大” 以隐藏导航栏。
- 在 ID 列中,选择缺陷 ID 旁边的右箭头以访问该缺陷的详细信息和补救指南。
